2
3
NOVEDADES ISO 9001:2015
PALOMA LÓPEZ LEMOS
4
NOVEDADES ISO 9001:2015
Autora: Paloma López Lemos Edita: © FUNDACIÓN CONFEMETAL Príncipe de Vergara, 74 – 28006 Madrid Tel.: 91 782 36 30. Fax: 91 563 17 41
[email protected] www.fundacionconfemetal.com ISBN: 978-84-16671-00-7 Impreso en España – Printed in Spain QUEDA PROHIBIDA TODA REPRODUCCIÓN TOTAL O PARCIAL DE LA OBRA POR CUALQUIER MEDIO O PROCEDIMIENTO SIN AUTORIZACIÓN PREVIA.
5
ÍNDICE INTRODUCCIÓN Capítulo 1. HISTORIA DE ISO 9001 1.1. Generalidades 1.2. Breve historia de la calidad 1.2.1. Érase una vez… en Estados Unidos 1.2.2. Érase una vez… en Europa 1.2.3. Érase una vez. en Japón 1.2.4. Los años setenta 1.2.5. Finales del siglo XX 1.2.6. En la actualidad Capítulo 2. NORMA ISO 9001 2.1. Estructura de la familia ISO 9000 2.2. Norma ISO 9001 2.2.1. Quién puede implementar la norma ISO 9001 2.2.2. ISO 9001 en el mundo 2.2.3. ISO 9001 en España 2.2.4. Ventajas y beneficios de implementar ISO 9001 Capítulo 3. PROCESO DE REVISIÓN DE ISO 9001 3.1. Proceso de revisión de las normas ISO 3.2. Revisiones existentes de ISO 9001 3.2.1. Año 1987: primera edición de la norma 3.2.2. Año 1994: segunda edición de la norma 3.2.3. Año 2000: tercera edición de la norma 3.2.4. Año 2008: cuarta edición de la norma 3.2.5. Año 2015: quinta edición de la norma 3.3. Revisión de la norma ISO 9001:2008 3.4. Objetivos de la revisión de la norma ISO 9001:2008
6
3.5. Proceso de transición de la norma de la versión 2008 a la versión 2015 3.5.1. Plazos para la transición 3.5.2. Cómo abordar el proceso 3.5.2.1. Las empresas 3.5.2.2. Las entidades de certificación Capítulo 4. ESTRUCTURA DE ALTO NIVEL 4.1. Integración de los sistemas de gestión 4.2. Anexo SL 4.3. Estructura de ISO 9001:2015 4.4. Comparación de la estructura de ISO 9001:2008 e ISO 9001:2015 Capítulo 5. NUEVA TERMINOLOGÍA Y CONCEPTOS 5.1. Nueva terminología 5.2. Nuevos conceptos 5.2.1. Información documentada 5.2.2. Productos y servicios 5.2.3. Partes interesadas 5.2.4. Enfoque basado en el riesgo Capítulo 6. PENSAMIENTO BASADO EN EL RIESGO 6.1. Introducción 6.2. Definición de riesgo e incertidumbre 6.2.1. Gestión del riesgo 6.3. Pensamiento basado en el riesgo 6.4. ¿Por qué aplicar el enfoque basado en el riesgo? 6.5. Enfoque al riesgo en otras normas 6.5.1. Sistemas de gestión de la continuidad de negocio. ISO 22301 6.5.2. Sistemas de gestión de la seguridad de la información. ISO 27001 6.5.3. Sistemas de gestión de la seguridad y la salud laboral. OHSAS 18001 6.6. Gestión del riesgo en ISO 9001:2015
7
6.7. Metodología de gestión del riesgo según ISO 31000 6.8. El riesgo de la gestión del riesgo Capítulo 7. OTRAS NOVEDADES 7.1. Introducción 7.2. Identificación del contexto y de las partes interesadas 7.3. Gestión del servicio post-venta 7.4. Gestión del conocimiento 7.5. Desaparición de las acciones preventivas 7.6. Desaparición de la figura “representante de la dirección” 7.7. Desaparición del manual de calidad Anexo I. MATRIZ DE CORRELACIÓN ENTRE ISO 9001:2008 E ISO 9001:2015 Anexo II. LISTA DE REFERENCIAS A LA INFORMACIÓN DOCUMENTADA EN ISO 9001:2015 REFERENCIAS
8
INTRODUCCIÓN
Tras varios años de análisis y revisión, la publicación de la norma ISO 9001:2015 —tan temida como esperada— ya es una realidad. Miles de organizaciones han arrancado ya con la implementación de su sistema de gestión acorde a la nueva norma, y muchos miles más han empezado a pensar cómo van a abordar el proceso de transición. No olvidemos que existen ya más de un millón de empresas certificadas en ISO 9001 en todo el mundo. ¿Qué es el pensamiento basado en el riesgo y cómo debo aplicarlo? ¿Sigue siendo válido el mapa de procesos de mi empresa? ¿Y el sistema documental? ¿¿¿Debo modificar TODOS los procedimientos y registros del sistema documental??? Y la más delicada, ¿qué hacemos con el Responsable de Calidad? Estas son solo algunas de las preguntas que me llegan relacionadas con la nueva revisión de ISO 9001… a lo largo de los siguientes capítulos se responden a estas y a otras muchas cuestiones relacionadas tanto con los nuevos requisitos como con los que desaparecen. Pero no nos engañemos. Está claro que esta ha sido una revisión de gran calado y que el proceso de transición no será fácil, —empezando por la comprensión del nuevo texto de la norma— por lo que el principal objetivo de este libro es hacer una descripción lo más sencilla posible de los nuevos contenidos de la norma —y de cómo implementarlos— de forma que el proceso de transición sea lo más eficaz y menos traumático posible. Escrito en un lenguaje riguroso pero sencillo y plagado de ejemplos y situaciones prácticas, este libro pretende ser una guía útil tanto para aquellas empresas que aborden la implementación de la norma por primera vez como aquellas que ya estén certificadas. Para ello, se incluyen como anexos la correlación entre 9
los puntos de la antigua versión 2008 y la nueva versión 2015 (que será de gran ayuda para empresas ya certificadas con la antigua versión en su proceso de adaptación a la nueva), así como un listado en el que se especifican los nuevos documentos y registros obligatorios, que facilita la optimización del sistema documental para todas las empresas inmersas en la implementación de la norma.
10
CAPÍTULO 1. HISTORIA DE ISO 9001 1.1. GENERALIDADES Tras más de 25 años de historia (la primera versión de ISO 9001 data de 1987), y más de un millón de certificados en todo el mundo, nadie pone en duda que la norma ISO 9001 es el estándar de referencia para los sistemas de aseguramiento y gestión de la calidad. Como consecuencia, todas las revisiones de esta norma generan gran expectación, tanto entre sus usuarios como en empresas que están valorando su implementación, y los cambios que implica cada versión en los sistemas de gestión son tan esperados como temidos por su impacto en la dirección de entidades de todo tipo, sector y actividad. La revisión del año 2015 ha aterrizado con numerosos cambios en el enfoque, la estructura, los requisitos e incluso en los términos y definiciones lo que la convierte en una de las revisiones más importantes y significativas de la norma. Comprender e interpretar correctamente estos cambios no solo 11
es importante para las empresas que abordan ahora la implementación de ISO 9001 por primera vez, sino que es esencial para empresas que hayan implementado sistemas de gestión que ya estén en funcionamiento pues entre otras cuestiones, deben hacer frente a la adaptación de sus procedimientos y sus manuales para que satisfagan los requisitos de la nueva revisión de la norma.
1.2. BREVE HISTORIA DE LA CALIDAD Para comprender la amplia difusión que tienen actualmente los sistemas de gestión de calidad (y más concretamente la norma ISO 9001) en el mundo, es fundamental dar un breve repaso a su historia y conocer sus orígenes.
1.2.1. Érase una vez… en Estados Unidos Los primeros brotes “serios” relacionados con la calidad se remontan a principios del siglo XX y empiezan en la empresa americana Bell Telephone System. Hacia 1920, la empresa, preocupada por la calidad de los productos suministrados por sus proveedores, decidió crear un departamento de inspección en su filial de Western Electric Company. Uno de sus objetivos era encontrar una forma de conseguir un buen número de datos sobre la calidad de sus equipos sin aumentar los niveles de inspección.
12
Artículo sobre la compañía Bell Telephone System En 1933, un ingeniero de la empresa Bell, Walter A. Shewhart, fue el primero de reconocer que la variabilidad (diferencias reales entre productos teóricamente idénticos) es inherente a la fabricación industrial, pero que puede ser medida y controlada mediante herramientas estadísticas.
De esta forma introdujo el control estadístico aplicado a los procesos de producción industrial con el fin de disminuir la variabilidad y mejorar la fiabilidad de los sistemas de transmisión fabricados en la compañía. Consiguió establecer una metodología válida para identificar el origen de los errores para disminuir el porcentaje de producto defectuoso y mejorar la productividad. 13
En 1939 publicó el libro “Método estadístico desde el punto de vista del Control de Calidad” en el que sienta las bases del control estadístico aplicado a los procesos industriales.
Ejemplo de gráfico de control estadístico En septiembre de ese mismo año, se declara la segunda guerra mundial.
Curiosamente, la guerra fue uno de los principales impulsores del desarrollo del control de calidad ante la necesidad imperiosa de fabricar productos más seguros para los soldados (en el ámbito militar, un producto de mayor calidad implica directamente un producto más seguro) y más fiables (desde municiones más fiables hasta paracaídas más seguros) que disminuyeran las pérdidas en el frente de la guerra. En el año 1942, en plena guerra, se constata que 345 paracaídas de cada 1.000 fabricados, no se abrían.
Trabajadoras inspeccionando un paracaídas de nylon durante la II guerra mundial Así, uno de los objetivos que se estableció la industria bélica fue cómo fabricar
14
productos de mejor calidad a un coste menor.
Una de las primeras medidas fue desarrollar un control de la calidad de las municiones basado en métodos estadísticos ante la evidente imposibilidad de verificar el 100% de los productos. Estos métodos de inspección por muestreo consisten en aceptar o rechazar cada lote de productos inspeccionando un número concreto de unidades y tomando la decisión en función del número de unidades rechazadas en el lote tras ser inspeccionadas, medidas o comparadas con las correctas.
Proceso de inspección de productos Este tipo de inspección por muestreo ahorra tiempos y costes de inspección.
Estos métodos de muestreo están basados en normas y estándares. Las primeras normas en hacer su aparición fueron las Z1 (también denominadas Military Standards 105). Los estándares MIL-Q-9858 “Quality Program Requirements” todavía son ampliamente empleadas en los planes de muestreo por lote que aún se siguen empleando en algunos sectores. Basada en las normas MIL, ISO ha publicado la norma ISO 28591:2012 Procedimiento de muestreo por la inspección de atributos. Parte 1: Planes de muestreo para las inspecciones lote por lote, tabulados según el límite de calidad de aceptación (LCA). 15
Ante el éxito obtenido al aplicar estos métodos de control al producto terminado, al ejército le siguieron también otras agencias gubernamentales como la Administración Nacional Aeronáutica y Espacial, más conocida como la NASA.
1.2.2. Érase una vez… en Europa Al mismo tiempo, la OTAN desarrolla el documento AQAP-1, “NATO Quality Control Requirement for Industry” y extiende el uso de los estándares MIL por Europa, donde las Fuerzas Armadas Británicas las adoptan como modelo normativo para sus productos. La metodología de evaluación de proveedores se extiende —cómo no— a Europa, con el problema añadido de la gran diversidad de modelos de control que empiezan a proliferar en los distintos países. En ese momento, la organización British Standard toma cartas en el asunto y desarrolla la norma BS 5750 en 1979 como estándar de control de proveedores. Los aspectos clave de BS 5750 eran los siguientes:
•
Responsabilidad de la Gerencia • Sistema de Calidad • Evaluación de Contrato •
• Equipo de Inspección y Prueba • Estado de Inspección y Prueba • Control de Producto No Conforme • Acción Correctiva • Manipulación, Almacenaje, Embalaje y Entrega • Registros de Calidad • Auditorías 16
Control de Diseño • Control de Documentos • Compras •
Internas de Calidad • Formación • Servicio • Técnicas Estadísticas
Requisitos del Cliente • Identificación y Trazabilidad del Producto • Control de Proceso • Inspección y Prueba Aspectos clave de BS 5750
BS 5750 fue una norma que se desarrolló claramente orientada al control de los resultados de la producción pero incluyendo bastantes aspectos relativos a la gestión (desde la evaluación del contrato o los requisitos del cliente hasta las auditorías internas o el control de los registros). No incluía aspectos básicos de la gestión de la calidad —como la conocemos hoy— como la mejora continua o la satisfacción del cliente. No obstante, esta norma es considerada como la antepasada más directa de la norma ISO 9001, por su gran éxito y su adopción de forma generalizada por empresas de todos los países europeos.
17
Artículo sobre la certificación de BS 5750
El éxito y gran difusión de la BS 5750 tuvieron como consecuencia que ISO la asumiera en su práctica totalidad, la elevara a la categoría de norma internacional, y la publicara como la primera versión de la norma ISO 9001 en 1987.
SOANS muestra su certificado BS 5750 en el año 1978
Antes de la guerra, la organización actualmente conocida como ISO, ejercía su actividad bajo el nombre de Federación Internacional de Asociaciones de Normalización Nacionales (ISA) y su objetivo era crear normas para el sector de la ingeniería mecánica. Fue disuelta durante la segunda guerra mundial. En 1946, delegados de veinticinco países se reunieron en Londres con el objetivo de fundar una nueva organización 18
internacional que se responsabilizara de la creación de estándares de uso internacional. En 1947, empieza la actividad de ISO. En la actualidad, ISO es una organización independiente, no gubernamental que está compuesta por representantes de más de 100 países, y más de 3.000 organismos técnicos responsables de desarrollar y revisar normas para todos los sectores y todos los ámbitos. Es la entidad normalizadora de referencia en todo el mundo. Su misión es “promover el desarrollo de la estandarización y actividades relacionadas con el propósito de facilitar el intercambio internacional de bienes y servicios, y para desarrollar la cooperación en la esfera de la actividad individual, científica, tecnológica y económica”. El nombre de ISO proviene del griego “isos” que significa igual.
1.2.3. Érase una vez… en Japón Antes de la guerra, los esfuerzos japoneses con respecto a la calidad se limitaban a la puesta en práctica —y no de forma generalizada— de prácticas de inspección de producto. Algunos expertos tenían conocimiento de las técnicas de inspección por muestreo que se empezaban a realizar en Estados Unidos y Europa pero no se estaban poniendo realmente en práctica de forma consciente y sistemática. Tras el final de la guerra, Estados Unidos decidió enviar a Japón 19
un grupo de expertos que les apoyasen en el proceso de reconstrucción económica del país —totalmente arruinado tras la derrota en el conflicto—, mediante la formación en nuevas técnicas y procesos de producción que ya habían sido puestos en marcha con éxito en EE.UU. y Europa. Uno de los aspectos que se pretendió trasladar fue el sistema de control estadístico de la calidad aplicado a los procesos de fabricación, como forma de mejorar la calidad de la producción.
Actividades de inspección de producto en empresa japonesa En 1949, se fundó en Japón la JUSE (Japanese Union of Scientists and Engineers, Unión de Científicos e Ingenieros Japoneses), organización cuyo primer paso fue establecer un Comité de Investigación en Control de Calidad formado por personas provenientes de las universidades, la industria y el gobierno.
En 1950, Walter E. Deming, un científico estadounidense dedicado a la estadística —y discípulo de Shewhart— fue invitado por la JUSE a participar en un seminario ante un buen número de los principales hombres de negocios de Japón, personas en las que había recaído la difícil tarea de reflotar la economía del país. Unos años después, en 1954, fue Joseph Juran el invitado a participar en una serie de seminarios orientados a la promoción y aplicación del sistema estadístico de control de calidad así como otros aspectos administrativos de la producción, como la planificación, la organización o la importancia del liderazgo de la dirección con respecto a la calidad.
20
A lo largo de estas ponencias Juran consiguió convencer a su audiencia de que la mejor estrategia para convertir a Japón en una potencia era enfocar sus esfuerzos a la obtención de un producto de calidad, con bajos costes y altos niveles de rentabilidad…
Toyota tras la segunda guerra mundial …y así fue.
El país pronto experimentó un desarrollo imparable gracias a la puesta en práctica de procesos de gestión directamente relacionados con la calidad y la mejora continua y se convirtió en lo que hoy es, una nación altamente industrializada, puntera en productos tecnológicos (sobre todo en el sector del automóvil y en la electrónica) de altísima calidad a precios muy competitivos. Walter E. Deming es conocido como uno de los padres de la calidad, y a él se le atribuyen sentencias tan famosas como “no se puede gestionar lo que no se puede medir” o “En Dios confiamos, el resto… deben aportar datos” y, sobre todo, “Para una organización, la mejora continua de su desempeño debe ser un objetivo permanente”. Murió en 1993 y su nombre quedará asociado para siempre al desarrollo y crecimiento de Japón tras la segunda guerra mundial. De hecho, en Japón se otorga anualmente el Premio Deming a la Calidad, que es el reconocimiento más antiguo que existe a la gestión de la calidad empresarial. En 1986, con Norteamérica sumida en una profunda crisis 21
económica, publicó el libro “Out of the Crisis” (Salir de la crisis) donde explica con claridad meridiana su filosofía de la calidad, la productividad y la competitividad. Este libro, en el que se enumeran los ya famosos “14 puntos para la gestión” que recomienda implementar a las compañías para obtener mejores resultados, se convirtió en el punto final (se publicó a escasos años de su fallecimiento) de su exitosa carrera profesional. Pero no toda la calidad vino de América… en 1949, Kaoru Ishikawa, un ingeniero químico con experiencia en el ámbito industrial y bélico, y profesor del área de ingeniería de la universidad de Tokio, comenzó a destacar por su promoción del control de calidad y su aportación a las teorías de gestión de calidad. A él le debemos una de las metodologías más famosas para la identificación de causas de errores y análisis de causas: el diagrama de Ishikawa, también llamado diagrama “causaefecto” o “espina de pescado”.
Diagrama causa-efecto o “Espina de Ishikawa”
1.2.4. Los años setenta En Estados Unidos, Joseph Juran y Philip Crosby, siguieron la estela de Deming y promovieron el desarrollo de la calidad aplicada a la 22
mejora de los procesos industriales a la vista de los excelentes resultados que se observaban en las empresas japonesas. Pero la fama de Deming y el extraordinario éxito de las teorías de gestión de calidad impactaron de verdad a Estados Unidos de la mano del japonés Kinishi Koyanagi. Invitado a participar en unos seminarios en Rochester —casi veinte años después del seminario de Deming en Japón—, deslumbró a su audiencia con la presentación del progreso obtenido por trece compañías japonesas que habían conseguido elevar la calidad y la productividad a partir de las teorías de Deming. A mediados de los setenta, la crisis del petróleo, la guerra de Irak y la caída del dólar sumen a Estados Unidos en una profunda crisis y el antaño gigante de la producción se ve desplazado como principal fabricante de automóviles, productos electrónicos y tecnología en general por otras potencias asiáticas emergentes como Japón, Korea, Taiwan o Hong-Kong, que no solo son capaces de fabricar productos de mayor calidad sino a un precio más competitivo.
Prototipo de vehículo propulsado por levitación magnética desarrollado por NISSAN
23
Esta necesidad de recuperar su posición en el mercado mundial hizo que Estados Unidos se posicionara definitivamente del lado del Control Total de la Calidad (Total Quality Control, TQM) como medio para mejorar sus procesos de producción.
1.2.5. Finales del siglo XX Los años ochenta representan la consolidación en todo el mundo de los sistemas de gestión de la calidad como medio para lograr la competitividad, especialmente en empresas de producción: constructoras, empresas del sector químico, metal… La norma se implementa de forma generalizada, a veces, integrada con otras normas de sistemas de gestión como ISO 14001 (gestión del medio ambiente), ISO 22000 (aseguramiento de la inocuidad alimentaria) o ISO 27001 (seguridad de la información).
Ejemplo de Certificado integrado ISO 9001 e ISO 14001
A partir de los años noventa y especialmente, a partir de la publicación de la versión del año 2000, tiene lugar la adopción definitiva de la norma por parte de sistemas de servicios: entidades financieras, empresas de marketing, asesorías, empresas de limpieza, educación, sanidad, transportes…
1.2.6. En la actualidad Después de veinticinco años y con varias revisiones en su haber, ISO 9001 es la norma más certificada en el mundo, con más de un millón de certificados en todo el mundo. 24
Ejemplo de Certificado ISO 9001
La expectación que ha causado el proceso de revisión de ISO 9001:2008 y posterior publicación de la revisión 2015 avalan que ISO 9001 sigue siendo la norma de referencia para las organizaciones que desean implementar un sistema de gestión de la calidad eficaz y eficiente. Año
Evento
1939
Shewhart publica “Método estadístico desde el punto de vista del control de calidad” En septiembre, estalla la segunda guerra mundial
1945
Finaliza la guerra
1947
Se crea el organismo normalizador internacional ISO
1949
Se funda la JUSE (Unión de Científicos e Ingenieros Japoneses)
1950
Deming imparte su primer seminario de gestión de calidad en Japón
1952
Japón entra a formar parte de la organización ISO
1954
Juran es invitado a dictar varios seminarios relativos a la gestión de calidad para los empresarios japoneses
1959
El Departamento de Defensa de EE.UU. publica las normas NMIL-Q-9858
1968
OTAN publica el documento AQAP-1
1979
British Standard publica la norma BS 5750
1986
Deming publica el libro “Out of Crisis”
1987
ISO publica la primera edición de la norma: ISO 9001:1987 Cronología de eventos relacionados con la calidad
25
26
CAPÍTULO 2. NORMA ISO 9001 2.1. ESTRUCTURA DE LA FAMILIA ISO 9000 La norma ISO 9001 es la norma más popular de la “familia” ISO 9000. Aunque la más conocida es ISO 9001 por ser la norma que describe los requisitos del sistema de gestión de calidad, en realidad, este grupo de normas está compuesto en la actualidad por los siguientes estándares: Familia ISO 9000 ISO 9000
ISO 9001
ISO 9004
Estándares que componen la familia de normas ISO 9000
• ISO 9000:2015 Sistemas de gestión de la calidad. Fundamentos y vocabulario: esta norma describe los conceptos y principios fundamentales de la gestión de calidad e incluye términos y definiciones que aplican a todas las normas de gestión de la calidad.
27
• ISO 9001:2015 Sistemas de gestión de la calidad. Requisitos: esta es la norma que describe los requisitos que debe satisfacer una organización que declare estar alineada con la norma. Es la única de entre las tres que está desarrollada con propósito de ser empleada para la certificación por tercera parte. • ISO 9004:2009 Gestión para el éxito sostenido de una organización. Enfoque de gestión de la calidad: esta norma proporciona directrices a las organizaciones para ayudarlas a alcanzar un éxito sostenido a partir de la implementación de ISO 9001. A pesar de que en su propósito original no es una norma certificable, algunas entidades de certificación ofrecen certificaciones (no acreditadas en la mayoría de los casos) basadas en este modelo de mejora. La Asociación Española de Normalización y Certificación (AENOR) ofrece la posibilidad de obtener la “Certificación en Gestión Avanzada 9004”. Esta certificación está basada en la verificación externa de la bondad del proceso de autoevaluación que realiza una organización que aplica la norma española UNE 66174 Guía para la evaluación del sistema de gestión para el éxito sostenido de una organización según ISO 9004:2009.
2.2. NORMA ISO 9001 2.2.1. Quién puede implementar la norma ISO 9001 La norma ISO 9001 tal y como la conocemos ahora, es una norma genérica, aplicable a cualquier organización, sin importar su tipo o tamaño, sector al que pertenezca o actividades que lleve a cabo. 28
Desde su publicación original en 1987, la norma ha ido evolucionando según las necesidades cambiantes de las organizaciones y de los mercados. Como hemos visto en el capítulo anterior, si bien originalmente el enfoque de la norma era hacia empresas dedicadas a la producción y a la fabricación, gracias al éxito y difusión de la certificación de calidad, las diversas revisiones, especialmente la del año 2000, han sido orientadas precisamente a la generalización de la norma para todo tipo de sectores y actividades. Esta generalización se ha conseguido gracias a los cinco elementos clave presentados por ISO en la revisión del año 2000 y que se mantienen en la actualidad: • Requisitos generales y de la documentación. • Requisitos para la dirección de la organización. • Gestión de los recursos. • Gestión de la producción apoyada en la gestión por procesos. • El análisis, la medición y mejora del sistema de gestión. Puede ser aplicada por igual a empresas de producción (fábricas, talleres…) que a empresas de servicios (hoteles, universidades…) y sirve de herramienta para la mejora tanto a la empresa privada como a la pública (gobiernos y ayuntamientos, agencias locales…), tanto a pymes como a grandes empresas multinacionales.
LOGITRAVEL es la primera agencia de viajes on-line certificada en ISO 9001
29
2.2.2. ISO 9001 en el mundo Anualmente, ISO hace un seguimiento del estado de las certificaciones en todo el mundo y publica el informe ISO Survey. Este informe permite seguir la evolución del número de certificados de cada norma, incluida ISO 9001 gracias a la información aportada por cada país miembro de ISO. El último informe ISO Survey corresponde al año 2014 y arroja resultados como los que se muestran a continuación:
Evolución en el número de certificados (fuente: ISO Survey 2014) A pesar de que su crecimiento es moderado comparado con tiempos pasados —el boom de la norma tuvo lugar hace dos décadas—, el buque insignia de ISO, la norma ISO 9001, sigue siendo la norma más certificada en el mundo con más de un millón de certificados, triplicando al número de certificados de la norma que la sigue (ISO 14001 Sistemas de gestión del medio ambiente).
Algunos de los países que destacan con mayor número de empresas certificadas en ISO 9001 son los siguientes: País
Número de certificados
China
342.800
Italia
168.960
Alemania
55.363
Japón
45.785
India
41.016
Reino Unido
40.200 30
España
36.005
Estados Unidos
33.008
Francia
29.122
Australia
19.731
Brasil
18.000
Número de certificados por país (fuente: ISO Survey 2014) 2.2.3. ISO 9001 en España En nuestro país, la certificación de ISO 9001 se empezó a popularizar a partir de finales del siglo pasado y tuvo su punto álgido en el año 2008.
Evolución en el número de certificados en España (fuente: ISO Survey 2014) La delicada situación de los mercados europeos y la crisis económica que ha asolado a Europa en los últimos años, tuvo un efecto claro en el número de empresas que decidieron abordar la certificación que han caído ligeramente en los dos últimos años.
2.2.4. Ventajas y beneficios de implementar ISO 9001 Como hemos visto, son legión las empresas que han implementado y certificado un sistema de gestión de calidad según ISO 9001. Pero implementar una ISO 9001 supone un coste para las empresas. Al gasto que supone la auditoría de certificación más la contratación de las empresas de consultoría especializada —si se desea contar con ellas—, se debe sumar el tiempo y esfuerzo de toda la organización en su conjunto con el equipo directivo al frente de todo el proyecto. Pero, ¿cuáles son los beneficios? ¿Por qué invertir en implementar ISO 9001? 31
Gracias a la larga experiencia que existe ya con este estándar, existen múltiples estudios y análisis sobre los beneficios reales que aporta su implementación en una organización. Aunque existen muchos casos en que empresas certificadas han abandonado tanto la certificación como el sistema, lo cierto según la información que proporcionan las propias empresas, el esfuerzo vale la pena. Algunos de los beneficios, tanto directos como indirectos de la implementación de un sistema de gestión se muestran a continuación. • Mejora en la gestión y dirección de la organización: la norma ISO 9001 exige la implicación total del equipo directivo en la implementación del sistema y su mejora continua, la revisión sistemática de los datos, el establecimiento de objetivos y la toma de acciones encaminadas a la consecución de los mismos. Como consecuencia de la implementación, el equipo de dirección dispone de más datos sobre el funcionamiento de la organización —y datos más objetivos— lo que permite tomar mejores decisiones y llevar a cabo una mejor planificación y gestión de la empresa. • Aumento de la productividad: la implementación del sistema supone una revisión profunda de todos los procesos y, en muchos casos, su rediseño. Cuellos de botella, procesos ineficientes, escasez de recursos, personal con insuficientes competencias para el trabajo que se les ha asignado… Estas y otras carencias salen a relucir en esta evaluación de procesos —la etapa preliminar del proceso de implementación— y permiten a la organización establecer medidas correctoras que redundan directamente en un aumento de la eficiencia de los procesos, y por ende, una disminución del consumo de recursos y un aumento de la productividad. • Clientes satisfechos: una de las claves del éxito de los sistemas de gestión es el enfoque a los clientes y grupos de interés de la compañía. Evaluar su grado de satisfacción, tratar 32
de identificar sus expectativas, contar con su opinión en el desarrollo del producto o del servicio, gestionar adecuadamente sus propuestas, ideas o quejas… todas estas acciones llevan directamente a un aumento de su grado de satisfacción para con la organización, lo que permite una mayor fidelización y simplifica el proceso de captar nuevos clientes. • Personal motivado: la norma exige que el personal de la organización conozca sus funciones y responsabilidades dentro de la misma, así como que tenga las competencias necesarias para desempeñarlas eficazmente, lo que supone que la organización se preocupa de la formación continua y el reciclaje de su personal lo que unido a un entorno de trabajo mejor gestionado redunda muy favorablemente en el nivel de motivación del personal interno. • Mejora de la imagen: una certificación ISO 9001 en sí misma es un distintivo de calidad y una excelente carta de presentación para la empresa. En muchos casos, es el billete para poder entrar a determinados mercados u optar a proyectos concretos en los que se exige esta certificación como primer paso a cumplir como proveedor de productos o de servicios. Es cada vez más frecuente que las administraciones públicas incluyan en sus pliegos de condiciones cuando licitan una obra o un servicio que los solicitantes estén certificados en ISO 9001, y en algunos sectores —como la construcción o el transporte— se ha convertido prácticamente en requisito imprescindible para mantenerse en el mercado.
33
Beneficios de la implementación de un sistema de gestión de calidad Un estudio llevado a cabo hace unos años por la Universidad de UCLA (University of California, Los Angeles), puso de manifiesto que las empresas estadounidenses que cotizaban en la Bolsa de Nueva York, y que estaban certificadas en ISO 9001, habían alcanzado una mejora de su desempeño financiero superior en comparación con otras empresas que no contaban con esta certificación.
Algunos de los indicadores evaluados en este estudio fueron el ROA (Return of Assets), o rentabilidad económica, que es la relación entre el beneficio obtenido en un determinado periodo (antes de intereses e impuestos) y los activos globales de la empresa, el ROS (Return of Sales), o rentabilidad de las ventas, que es el resultado de dividir la utilidad neta después de impuestos por las ventas netas de la empresa (después de devoluciones y descuentos). Este estudio también sirvió para demostrar que las empresas que acometieron este proyecto de forma rigurosa, obtuvieron mejores resultados y mayores beneficios de la certificación. En resumen, leyendas urbanas aparte, implementar un sistema de gestión acorde a ISO 9001 no es en absoluto un coste sino una inversión para la organización, que verá recompensado su esfuerzo con una evidente mejora de sus procesos y de sus resultados.
34
CAPÍTULO 3. PROCESO DE REVISIÓN DE ISO 9001 3.1. PROCESO DE REVISIÓN DE LAS NORMAS ISO Todas las normas ISO son revisadas por su Comité Técnico cada cinco años con el objetivo de analizar si necesitan alguna modificación o actualización para mantener su vigencia y relevancia. Para llevar a cabo este proceso, el Comité Técnico correspondiente —en el caso de la norma ISO 9001, se trata del Comité Técnico 176— cuenta con la opinión de todas las partes involucradas en el proceso.
Reunión del Comité Técnico ISO/TC 176
35
El proceso de revisión está dividido en seis etapas, a lo largo de las cuales el documento pasa por los siguientes estadios: • Fase 1: propuesta de nuevos temas de trabajo (NWIP) En esta fase, se lleva a cabo la evaluación de la norma para determinar si necesita algún cambio o modificación. Para ello se tienen en cuenta observaciones, comentarios y propuestas de todos los que participan activamente del uso y aplicación de la norma (empresas, entidades de certificación…). Estas propuestas, denominadas “Propuestas de Nuevos Temas de Trabajo” (New Work Item Proposal, NWIP) son sometidas a la valoración del Comité Técnico antes de ser aceptadas. • Fase 2: borrador de trabajo (WD) Con las propuestas de revisión de los contenidos de la norma que han sido aceptadas encima de la mesa, el Comité Técnico comienza su labor y emite un primer borrador de trabajo (Work Draft, WD) que las integra. Cada sección del documento suele ser encargado a un grupo (Subcomité Especial) específico y se suele contar con la opinión de expertos de todo el mundo de reconocido prestigio. • Fase 3: borrador del comité (CD) En esta etapa, los miembros del Comité Técnico realizan comentarios y votan sobre los distintos borradores (Committee Draft, CD) que se van elaborando hasta alcanzar un consenso sobre su contenido técnico. De momento, el borrador es un documento interno que se mantiene en el entorno del Comité Técnico, los grupos de trabajo y los expertos consultados. • Fase 4: proyecto de norma internacional (DIS) Al final de la etapa anterior, el CD definitivo es sometido a votación por los miembros del Comité y aprobado para ser registrado como Proyecto de Norma Internacional (Draft International Standard, DIS). El DIS se distribuye a todos los miembros de ISO que disponen de tres meses para revisarlo, comentarlo y emitir un voto a favor o en contra. Tanto el Comité Técnico como los distintos Subcomités, deben tomar en consideración TODOS los comentarios de los distintos 36
miembros de ISO, para revisar nuevamente el borrador DIS. Suele establecerse entonces otro periodo de revisión del nuevo borrador revisado. • Fase 5: proyecto final de norma internacional (FDIS) En esta etapa el nuevo borrador de la norma (Final Draft International Standard, FDIS) vuelve a ser distribuido a los miembros de ISO, esta vez durante un periodo de dos meses para su revisión y votación. • Fase 6: norma internacional Una vez el FDIS es aprobado, su contenido técnico ya no puede ser modificado por lo que el documento final únicamente contiene modificaciones de tipo editorial y es publicado como Norma Internacional.
3.2. REVISIONES EXISTENTES DE ISO 9001 Como hemos visto, la primera edición de ISO 9001 data del año 1987, con los antecedentes de la norma BS 5750 primero y antes, del estándar americano MIL-Q-9858.
Antecedentes de ISO 9001
Como cualquier otra norma ISO, ha ido sufriendo varias revisiones a lo largo de los años.
37
Revisiones de la norma ISO 9001 desde la original hasta la actual Veamos cada una de ellas con detalle.
3.2.1. Año 1987: primera edición de la norma Aunque siempre nos referimos a ISO 9001:1987 como la primera revisión de la norma, en realidad, ISO publicó la “serie” ISO 9000 que estaba compuesta por tres normas: ISO 9001
Quality systems. Model for quality assurance in design/development, production, installation and servicing
ISO 9002
Quality systems. Model for quality assurance in production and installation
ISO 9003
Quality systems. Model for quality assurance in final inspection and test Serie ISO 9000
Las tres normas eran básicamente equivalentes, si bien se diferenciaban en el alcance y por tanto, en el tipo de empresa al que iban dirigidas. ISO 9001 era la más completa (incluía todos los procesos de la empresa, desde el diseño y desarrollo hasta la instalación), mientras que ISO 9002 no incluía el diseño e ISO 9003 estaba 38
orientada únicamente a la inspección final. Esta primera edición de ISO 9001 se estructuraba en cuatro capítulos principales, siendo el último de ellos el que describía los requisitos del sistema de calidad. El apartado de los requisitos se desglosaba a su vez en veinte capítulos, uno por cada proceso.
39
Una de las características principales de estas normas es que las tres pueden ser auditadas, introduciendo así en el mercado el concepto de certificación por tercera parte. No existen datos contrastados del volumen de empresas 40
certificadas en los primeros años de vida de la norma, pero sí se conoce que su mayor aceptación se produjo en Europa. Junto con las normas de requisitos, se publican también otras dos normas complementarias: ISO 9000
Quality management and quality assurance standards. Guidelines for selection and use
ISO 9004
Quality management and quality system elements. Guidelines Serie ISO 9GGG
3.2.2. Año 1994: segunda edición de la norma En el año 1994, y sin grandes cambios respecto de la versión original, el comité técnico responsable de las revisiones de ISO 9001 (ISO/TC 176) emite la segunda edición de la serie de normas ISO 9000 manteniendo la misma estructura de tres normas para tres diferentes esquemas. En ese momento, el éxito de la norma es imparable, y aunque los países europeos siguen a la cabeza del número de certificaciones, aparecen otros países emergentes como Australia, China y Japón. ISO 9001 comienza también a emplearse como “norma de referencia” para otros estándares de gestión certificables, como la norma ISO 14001 (para la gestión medioambiental) o la norma OHSAS 18001 (para la gestión de la seguridad y salud en el trabajo). Asimismo, se empiezan a desarrollar otros estándares para la gestión de la calidad en sectores específicos, también 41
basados en ISO 9001 como EN 9100 (calidad en el sector aeronáutico) y QS-9000 (calidad en el sector automoción). En 1997, ISO lleva a cabo una ronda de encuestas a más de mil usuarios de la norma para conocer su opinión y recoger propuestas de mejora de cara a la revisión del año 2000. Como un ejemplo más del grado de difusión de la norma, es reseñable indicar que esta edición de ISO 9001 sí vio la luz en su versión española, facilitando así su aplicación por parte de las empresas españolas —y latinoamericanas—. UNE-EN ISO 9001:1994
SISTEMAS DE LA CALIDAD. MODELO PARA EL ASEGURAMIENTO DE LA CALIDAD EN EL DISEÑO, EL DESARROLLO, LA PRODUCCION, LA INSTALACION Y EL SERVICIO POSVENTA.
UNE-EN ISO 9002:1994
SISTEMAS DE LA CALIDAD. MODELO PARA EL ASEGURAMIENTO DE LA CALIDAD EN LA PRODUCCION, LA INSTALACION Y EL SERVICIO POSVENTA.
UNE-EN ISO 9003:1994
SISTEMAS DE LA CALIDAD. MODELO PARA EL ASEGURAMIENTO DE LA CALIDAD EN LA INSPECCION Y LOS ENSAYOS FINALES. Versión en castellano de la serie ISO 9000
En España, la publicación de estas normas anula a varias normas UNE empleadas desde el año 1986 en el aseguramiento de la calidad: • ISO 9001 anula a la norma española UNE 66901, aplicable al aseguramiento de la calidad en el proyecto, la fabricación, la instalación y el mantenimiento. • ISO 9002 anula a la norma española UNE 66902, empleada en el aseguramiento de la calidad en las actividades de fabricación e instalación. • ISO 9003 anula a la norma española UNE 66903, empleada la inspección y ensayo final de producto.
42
3.2.3. Año 2000: tercera edición de la norma A partir de los comentarios recogidos de los usuarios de la norma (clientes, entidades de normalización y de certificación, expertos…), el proceso de revisión de la serie de normas ISO 9000 (recordemos que en este estadio, aún existen tres esquemas de certificación) inicia con los siguientes objetivos principales: • Mejorar la compatibilidad con otras normas (ISO 14001, principalmente). • Simplificar la carga documental (la anterior edición suponía la elaboración de hasta 20 procedimientos documentados). • Simplificar los contenidos de cara a hacerlas más “entendibles” al usuario. • Ampliar el enfoque de la norma, para hacerla aplicable también por el sector servicios. • Incluir el enfoque a procesos en la gestión de la organización. • Incluir el enfoque a la prevención y no solo a la corrección de problemas. • Incluir el enfoque a la mejora continua. A la vista de estos objetivos, está claro que la segunda revisión de la norma resultó una auténtica revolución, y la norma ISO 9001:2000 aportó muchos cambios y de gran calado respecto de la edición anterior. Uno de los cambios más significativos es la integración de los tres esquemas existentes (ISO 9001/ISO 9002/ISO 9003) en un único esquema de certificación con la posibilidad de que la organización pueda excluir la aplicación de aquellos requisitos que no le apliquen en función de sus actividades. 43
Unificación de la serie ISO 9000 tras la revisión del año 2000
Otras de las novedades más importantes de esta edición es la adopción de los ocho principios de la calidad, que se constituyen como marco de referencia de los requisitos de la norma y en los pilares incuestionables de cualquier sistema de gestión de calidad. Los ocho principios de la calidad aparecen recogidos y definidos en la norma ISO 9000:2000 Sistemas de gestión de la calidad. Fundamentos y vocabulario y en la norma ISO 9004:2000 Sistemas de gestión de la calidad. Directrices para la mejora del desempeño.
44
Ocho principios de la calidad Algunos de los más importantes son los siguientes: • El enfoque al cliente: la calidad deja de ser una apreciación “interna” de la organización para ser evaluada también desde el exterior a través de la percepción de los clientes sobre la calidad del producto.
Definición de calidad
• El enfoque a procesos: se abandona el tradicional enfoque de gestión mediante la organización de áreas o departamentos independientes entre sí y se propone un enfoque de gestión estructurado a partir de los distintos procesos que tienen lugar en la compañía. La norma exige la identificación de los procesos que existen en la organización así como la relación existente entre ellos (en la mayoría de las ocasiones, las entradas de un proceso son las salidas de otro y viceversa). El concepto de proceso, su comprensión y su correcta aplicación a los sistemas de gestión ya existentes supuso, con diferencia, el requisito más complejo de abordar para las empresas ya certificadas (y también para las que decidieron abordar el proceso de implementación con la nueva edición de la norma).
De hecho, tras la publicación de la norma ISO 9001:2000, el 45
hasta entonces meteórico aumento de los certificados se estancó ligeramente ante la dificultad de aplicar todos los cambios. Como consecuencia de lo anterior, rápidamente se popularizan los mapas de procesos (representación gráfica de la identificación de procesos y la relación existente entre los mismos), la propia norma propone el que se muestra a continuación, que es adoptado por la mayoría de las empresas.
Mapa de procesos incluido en la versión 2000 de ISO 9001
• La mejora continua: otro concepto innovador que aparece en la edición del año 2000, es, sin duda, el proceso de mejora continua del sistema de gestión. Mediante el establecimiento, la planificación y la vigilancia continua de los objetivos de la calidad, y apoyándose en herramientas como el seguimiento y medición de los procesos, la recogida de datos relativos a la satisfacción de los clientes y las auditorías internas, la organización está obligada a mejorar continuamente su desempeño y el de su sistema. Superadas las dificultades en la comprensión y aplicación de los nuevos enfoques, la norma vuelve a difundirse de forma 46
exponencial, esta vez incluyendo empresas de otros sectores que hasta el momento no parecían muy interesadas —como el sector público o el sector servicios— y en 1980, el número de certificados está por encima de los 900.000 en todo el mundo. Como modelo de proceso de mejora continua, las organizaciones comienzan a aplicar de manera sistemática una herramienta de gestión popularizada por Edward Deming y basada en un concepto ideado por Walter A. Shewhart ya en los años 60… el ciclo PDCA (Plan-Do-Check-Act).
El modelo PDCA propone una sistemática muy sencilla basada en la planificación minuciosa de las actividades (Plan) antes de su despliegue en la organización (Do), y en la obtención de datos objetivos mediante el seguimiento y la verificación (Check) que permitan hacer correcciones o mejoras en el proceso (Act).
3.2.4. Año 2008: cuarta edición de la norma Tras el shock que supuso la edición de ISO 9001:2000, el sondeo de los usuarios de la norma por parte de ISO no aportó grandes necesidades de cambios para la revisión de 2008. Los cambios se centraron en mejorar la redacción de algún 47
requisito (por ejemplo, en el apartado 7.6 se cambió la expresión “dispositivo de seguimiento y medición” por “equipo de seguimiento y medición”). De esta forma, la transición de la norma ISO 9001:2000 a ISO 9001:2008 fue muy sencilla de llevar a cabo pues no existían cambios en la estructura ni en los requisitos del sistema de gestión. Apenas alguna nota aclaratoria y la modificación de algún párrafo para darle mayor claridad. Algunas de esas modificaciones se muestran a continuación (los cambios se resaltan en negrita). Texto ISO 9001:2000
Texto ISO 9001:2008
La organización debe realizar La organización debe realizar el el seguimiento, la medición y seguimiento, la medición cuando el análisis de los procesos sea aplicable y el análisis de los procesos La organización debe asegurarse de que se identifican los cambios y el estado de la versión vigente de los documentos
La organización debe asegurarse de que se identifican los cambios y el estado de la revisión actual de los documentos
La organización debe asegurarse de que se identifican los documentos de origen externo y se controla su distribución
La organización debe asegurarse de que los documentos de origen externo que la organización determina que son necesarios para la planificación y la operación del sistema de gestión de la calidad, se identifican y que se controla su distribución
La información de entrada para la revisión por la dirección debe incluir: a) resultados de auditorías,
La información de entrada para la revisión por la dirección debe incluir: a) los resultados de auditorías, b) la retroalimentación del cliente, c) 48
b)
retroalimentación del cliente, c) desempeño de los procesos y la conformidad del producto, d) estado de las acciones correctivas y preventivas, e) acciones de seguimiento de revisiones por la dirección previas, f) cambios que podrían afectar al sistema de gestión de la calidad, y g) recomendaciones para la mejora
el desempeño de los procesos y la conformidad del producto, d) el estado de las acciones correctivas y preventivas, e) las acciones de seguimiento de revisiones por la dirección previas, f) los cambios que podrían afectar al sistema de gestión de la calidad, y g) las recomendaciones para la mejora
El personal que realice trabajos que afecten a la calidad del producto debe ser competente con base en la educación, formación, habilidades y experiencia apropiadas
El personal que realice trabajos que afecten a la conformidad con los requisitos del producto debe ser competente con base en la educación, formación, habilidades y experiencia apropiadas
La organización debe validar aquellos procesos de producción y de prestación del servicio donde los productos resultantes no puedan verificarse mediante actividades de seguimiento o medición posteriores. Esto incluye a cualquier proceso en el que, las deficiencias se hagan aparentes únicamente después de que el producto esté siendo utilizado o se haya prestado el servicio
La organización debe validar todo proceso de producción y de prestación del servicio cuando los productos resultantes no pueden verificarse mediante seguimiento o medición posteriores y, como consecuencia, las deficiencias aparecen únicamente después de que el producto esté siendo utilizado o se haya prestado el servicio
Control de los dispositivos Control 49
de
los
equipos
de
de seguimiento y medición
seguimiento y medición
La organización debe revisar La organización debe revisar la las acciones correctivas eficacia de las acciones tomadas correctivas tomadas
3.2.5. Año 2015: quinta edición de la norma Tras quince años sin apenas cambios (como se ha visto, la edición de 2008 era prácticamente igual que la edición del año 2000) y ante un cierto estancamiento del número de empresas certificadas, ISO se planteó hacer de la edición de 2015 una norma diferente y mejorada. Como se verá a continuación, este objetivo se consiguió ampliamente: cambio en la estructura, nuevos enfoques, requisitos que aparecen por primera vez y requisitos que desaparecen… la versión 2015 de la norma ha tenido un impacto extraordinario que las organizaciones de todo el mundo aún están evaluando como abordar.
3.3. REVISIÓN DE LA NORMA ISO 9001:2008 En noviembre de 2012 comenzaron los trabajos del Grupo de Trabajo (Work Group, WG) 24, perteneciente al Comité Técnico (Technical Committee, CT) 176 de ISO, encargado de la revisión de ISO 9001. El proyecto se inició con la revisión de todos los comentarios y propuestas de mejora —más de tres mil— que se habían recibido respecto de la revisión 2008 de la norma por parte de los países miembros de ISO. 50
Tras pasar por varias etapas y revisiones (del borrador ISO CD al ISO DIS y de ahí al ISO FDIS) finalmente la norma ha sido publicada como ISO 9001:2015 en septiembre de 2015.
Etapas del proceso de revisión de la norma ISO 9001:2008
3.4. OBJETIVOS DE LA REVISIÓN DE LA NORMA ISO 9001:2008 Algunos de los objetivos estratégicos sobre los cuales el TC 176 basó su trabajo fueron los siguientes: • Mayor claridad en la redacción: sin perder de vista el rigor en la descripción de los requisitos, se ha apreciado un claro esfuerzo en simplificar y clarificar su redacción. Concretamente en algunos de los puntos más problemáticos como diseño y desarrollo o control de los productos suministrados externamente. • Aplicabilidad de la norma: se incide en el propósito de que la norma sea aplicable a todo tipo de empresas. Para ello, se ha flexibilizado el contenido de algunos requisitos (por ejemplo, el control de los equipos de seguimiento y medición). Curiosamente desaparece el concepto de exclusión pero es sustituido por el de no aplicabilidad. • Enfoque a procesos: si bien el enfoque a procesos ya aparece en la versión 2000 de la norma, en esta edición se refuerza y se concreta, definiendo en el apartado Sistema de Gestión de la Calidad la información a determinar para una correcta gestión por procesos. • Enfoque basado en el riesgo: este nuevo enfoque refuerza el carácter preventivo del sistema de gestión de la calidad que de 51
manera implícita ya estaba presente en anteriores versiones de la norma —no olvidemos que con anterioridad ya existían las acciones preventivas para combatir las no conformidades “potenciales”—. Ahora las acciones preventivas se eliminan y se sustituyen por una herramienta más eficaz como el análisis de riesgos. Para facilitar y flexibilizar esta labor, la norma no incorpora ningún requisito sobre la metodología a aplicar para la gestión de los riesgos. • Flexibilidad en la documentación: este es un objetivo común a todas las revisiones de la norma. En la revisión de 2015 se concreta en la eliminación de los conceptos documento, procedimiento, instrucción o registro y su sustitución por el término “información documentada” y la desaparición de la obligación de mantener determinados documentos (como el manual de calidad, o los antiguos “procedimientos documentados obligatorios”) y dejando en gran medida a criterio de la organización el tipo y tamaño de su sistema documental.
3.5. PROCESO DE TRANSICIÓN DE LA NORMA DE LA VERSIÓN 2008 A LA VERSIÓN 2015 3.5.1. Plazos para la transición El Foro Internacional de Acreditación (International Accreditation Forum, IAF) es un organismo internacional que se encarga de gestionar los acuerdos entre los distintos organismos de acreditación (que a su vez son responsables de la acreditación de las entidades de certificación que evalúan como partes externas, los sistemas de 52
gestión de calidad y cuando procede, emiten los correspondientes certificados).
Organismos involucrados en el proceso de certificación ISO
Uno de esos acuerdos ha tenido por objeto establecer un proceso claro y coherente para la transición de la norma ISO 9001:2008 a la nueva versión 2015. En colaboración con el Comité ISO/TC 176/SC 2/WG 23, el proceso de transición se ha establecido de la forma siguiente: • Un periodo de transición de tres años desde la fecha de publicación de la norma. Es decir, ese periodo finaliza en septiembre de 2018, momento a partir del cual todos los certificados de ISO 9001:2008 pasarán a ser obsoletos. El periodo de transición es el plazo que tienen todas las organizaciones certificadas en ISO 9001:2008 para implementar los cambios de su sistema de gestión y pasar la auditoría respecto de esta versión de la norma por parte de una entidad de certificación. Por otro lado, en marzo de 2017 dejan de emitirse nuevos certificados respecto de esa norma, de forma que a partir de esa fecha cualquier primera certificación será ya necesariamente respecto de la versión 2015.
53
Cronología de la transición hacia la nueva ISO 9001:2015
3.5.2. Cómo abordar el proceso 3.5.2.1. Las empresas Son muchas las empresas que se ven abocadas a adaptar su sistema de gestión de calidad a los requisitos de la nueva versión de la norma. Las recomendaciones de la IAF para abordar este proceso sin mayor sobresalto son las siguientes: • Identificar las carencias de la organización que deben abordarse para cumplir con los nuevos requisitos. • Diseñar un plan de implementación que aborde estos aspectos. • Sensibilizar al personal y proporcionar la formación necesaria a todas las partes implicadas que tengan algún impacto en la eficacia de la organización. • Actualizar el sistema de gestión de calidad existente para cumplir con los requisitos revisados y proporcionar verificación de la eficacia. 54
• En su caso, contactar con la entidad de certificación para acordar la transición del certificado.
3.5.2.2. Las entidades de certificación Las entidades de certificación deben emprender sus propias medidas de adaptación, entre las que se encuentran: • Formar a sus auditores y asegurar que tienen las competencias adecuadas. • Comunicarse y coordinarse con su entidad de acreditación. • Comunicarse y coordinarse con sus propios clientes —las empresas certificadas— para planificar y dar soporte a su proceso de transición. Las entidades de certificación deben asesorar con cuidado a sus clientes respecto de la agenda que deberían seguir en su proceso de transición. La mayoría de las entidades de certificación estiman que estarán listas para ofrecer un certificado ISO 9001:2015 avalado por una entidad de acreditación a principios del año 2016. Un plazo demasiado ajustado será perjudicial para la organización, que necesita tiempo suficiente para revisar exhaustivamente su sistema de gestión y adaptar sus procesos (y documentos…), generar evidencias, etc. Un plazo demasiado largo puede suponer un problema para disponer del nuevo certificado antes de que el actual resulte obsoleto. En cualquier caso, el proceso de adaptación podrá realizarse en una auditoría de seguimiento, en una auditoría de re-certificación o en una auditoría extraordinaria, según le convenga a la organización.
55
La solución más eficiente es aprovechar cualquiera de las fechas ya planificadas para auditorías de seguimiento o recertificación. En el primer caso (auditoría de seguimiento), la entidad de certificación añadirá el tiempo extra que sea necesario para adaptarse a la nueva agenda.
56
CAPÍTULO 4. ESTRUCTURA DE ALTO NIVEL 4.1. INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN A lo largo de los años, la organización ISO ha ido publicando numerosas normas de sistemas de gestión, no solo relativas a temas de calidad, sino también a medio ambiente, seguridad, inocuidad alimentaria, etc., con muchos aspectos en común pero también con requisitos específicos en cada una de ellas. El interés de las empresas por adoptar estas normas ha llevado a la popularización de los sistemas de gestión integrados —es muy frecuente el sistema integrado de calidad y medio ambiente, por ejemplo, así como el triple calidad, medio ambiente y seguridad laboral— llevando a cabo el proceso de integración con mayor o menor fortuna. En empresas muy grandes o con larga experiencia en los sistemas de gestión, se pueden encontrar hasta cinco o seis normas integradas en un único sistema: calidad, medio ambiente, seguridad laboral, seguridad de la información, seguridad de la cadena de suministro, continuidad de negocio… las posibilidades 57
son infinitas dado el gran número de posibilidades “ISO” existentes hoy en día para el mundo empresarial.
Sistema de gestión integrado en base a seis normas La cuestión es que a pesar de tener muchos aspectos en común, estas normas ISO no tienen la misma estructura lo que dificulta muchas veces su coexistencia en la empresa de tal manera que se pueden encontrar compañías en las que los distintos sistemas implementados funcionan por separado como si de diferentes empresas se tratara.
Esto obliga a las empresas a tener varios responsables de sistemas de gestión —que no siempre trabajan en equipo—, planes de objetivos que no siempre resultan coherentes entre sí y lo que es peor, diferentes procedimientos para gestionar procesos prácticamente idénticos, generando confusión y malestar en las personas implicadas.
58
Este problema pone de manifiesto que la estructura de las normas es importante; al fin y al cabo, los sistemas de gestión se crean apoyados en dichas estructuras, por lo que parece claro que para integrar y combinar las normas de forma sencilla y más eficiente se necesita que estas tengan una estructura común. Conscientes del problema que suponía la integración de las diferentes normas de gestión, y para evitar en la medida de lo posible las duplicidades, conflictos e incoherencias entre los sistemas, el grupo JTCG de ISO (Joint Technical Coordination Group) decidió desarrollar la estructura de un sistema de gestión “genérico” que pudiese ser aplicado por una organización independientemente del aspecto que se fuese a gestionar, para garantizar así la compatibilidad de los distintos sistemas. Los requisitos básicos que debía tener esta estructura común eran: • Idéntico número de capítulos. • Idénticos textos introductorios para los artículos. • Enunciados idénticos para requisitos idénticos. • Términos comunes.
Requisitos básicos de la Estructura de Alto Nivel Dicha estructura fue denominada Estructura de Alto Nivel y está definida en el Anexo SL del documento ISO/IEC Directivas, Parte 1.
59
60
Extracto Anexo SL
La Estructura de Alto Nivel ya está siendo aplicada a todas las normas nuevas de sistemas de gestión y a las revisiones de normas ya existentes (como es el caso de ISO 9001 en su revisión 2015). Algunos de los cambios que emanan de esta nueva estructura son sutiles —como sustituir los conceptos de documentos y registros por información documentada— y otros son de gran calado, como la desaparición definitiva del responsable del sistema o la consolidación del pensamiento basado en el riesgo. Algunas de las normas que ya han sido armonizadas con esta estructura se muestran a continuación. ISO 22301:2012
Sistemas de gestión de la continuidad de negocio
ISO 39001:2012
Sistemas de gestión de la seguridad vial
ISO 27001:2013
Sistemas de gestión de la seguridad de la información
ISO 9001:2015
Sistemas de gestión de calidad
ISO 14001:2015
Sistemas de gestión del medio ambiente
61
Normas armonizadas con Anexo SL
4.2. ANEXO SL La Estructura de Alto Nivel que figura en el Anexo SL es aplicado a normas ISO, especificaciones de acceso público (PAS) y especificaciones técnicas (TS). Se compone de diez cláusulas: Cláusula 1
Objeto y campo de aplicación
Cláusula 2
Referencias normativas
Cláusula 3
Términos y definiciones
Cláusula 4
Contexto de la organización
Cláusula 5
Liderazgo
Cláusula 6
Planificación
Cláusula 7
Soporte
Cláusula 8
Operación
Cláusula 9
Evaluación del desempeño
Cláusula
Mejora 62
10 Estructura de Alto Nivel • Cláusula 1: Objeto y campo de aplicación Especifica el objetivo de la norma y en qué casos y para qué usos puede ser aplicada. Por ejemplo, en este apartado se suele indicar cuando una norma está previsto que sea utilizada como estándar de referencia en auditorías de tercera parte (certificación).
En el caso de ISO 9001:2015, se indica que los requisitos de la norma son genéricos y que pueden ser aplicados por cualquier tipo de organización, sin importar su tamaño, o los productos y servicios que proporcione. • Cláusula 2: Referencias normativas En este apartado, se incluyen las referencias a otras normas que sean de aplicación. En el caso de ISO 9001:2015, se incluye la referencia a la norma ISO 9000:2015 Sistemas de gestión de la calidad. Fundamentos y vocabulario. • Cláusula 3: Términos y definiciones Enumera términos y definiciones de aplicación específica a la norma. En el caso de ISO 9001:2015, no se incluye ninguno y se repite de nuevo la referencia a la norma ISO 9000:2015 Sistemas de gestión de la calidad. Fundamentos y vocabulario. • Cláusula 4: Contexto de la organización Esta cláusula se subdivide en otras cuatro sub-cláusulas: — 4.1 Conocimiento de la organización y su contexto. — 4.2 Comprensión de las necesidades y expectativas de las partes interesadas. — 4.3 Determinación del alcance del sistema de gestión de la calidad. — 4.4 Sistema de gestión. La cláusula 4 lleva a la organización a preguntarse quién es y dónde está y a valorar la importancia del entorno que la rodea. • Cláusula 5: Liderazgo La cláusula 5 está orientada a cómo los líderes de la organización ejercen su liderazgo, haciendo especial hincapié en la responsabilidad de la dirección a la hora de asumir la implementación, mantenimiento y mejora del 63
sistema, establecer y alcanzar los objetivos, asignar los recursos necesarios para ello, comunicar al resto de la organización la importancia de cumplir con los requisitos y la toma de conciencia y participación de todo el personal. Está dividida en tres sub-cláusulas: — 5.1 Liderazgo y compromiso. — 5.2 Política. — 5.3 Roles, organización.
responsabilidades
y
autoridades
en
la
• Cláusula 6: Planificación La planificación del sistema de gestión se establece en dos sub-cláusulas de gran importancia: — 6.1 Acciones para tratar riesgos y oportunidades. — 6.2 Objetivos del sistema de gestión y planificación para lograrlos. Este enfoque preventivo es una de las novedades de la norma y sustituye a las ya obsoletas acciones preventivas. Por otro lado, se pone especial énfasis en la planificación y despliegue de los objetivos de la calidad. • Cláusula 7: Soporte En esta cláusula, aparecen reflejados los requisitos relativos a los elementos de soporte (fundamentalmente los recursos), aspectos que existen en todas las empresas y que son comunes a la mayoría de los sistemas de gestión: — 7.1 Recursos. — 7.2 — 7.3 — 7.4 — 7.5
Competencia. Toma de conciencia. Comunicación. Información documentada.
En la sub-cláusula 7.1 se analizan tanto los recursos humanos (7.1.2 Personas) como los materiales (7.1.3 Infraestructura, 7.1.5 Recursos de seguimiento y medición) y el ambiente de trabajo (7.1.4 Ambiente para la operación de los procesos). • Cláusula 8: Operación Esta es la única cláusula en la que ISO tiene previsto que aparezcan las diferencias entre un sistema y otro. 64
Aborda todos los procesos operativos, tanto los procesos internos como los contratados externamente y tiene una única cláusula: — 8.1 Planificación y control operacional. En el caso de ISO 9001:2015, incluye varias sub-cláusulas más para dar cabida a todos los procesos de producción/prestación del servicio: — 8.2 Requisitos para los productos y los servicios. — 8.3 Diseño y desarrollo de los productos y los servicios. — 8.4 Control de los procesos, productos y servicios suministrados externamente. — 8.5 Producción y provisión del servicio. — 8.6 Liberación de los productos y servicios. — 8.7 Control de las salidas no conformes. Esta es la cláusula más larga de la norma, pues a su vez, muchas de las sub-cláusulas se desglosan en varios apartados. Por ejemplo, la sub-cláusula 8.5 Producción y provisión del servicio, se desglosa a su vez en otros seis apartados, entre los que se encuentran: — 8.5.2 Identificación y trazabilidad. — 8.5.3 Propiedad perteneciente a los clientes o los proveedores externos. — 8.5.4 Preservación. — 8.5.5 Actividades posteriores a la entrega. — 8.5.6 Control de los cambios. • Cláusula 9: Evaluación del desempeño La cláusula 9 incluye los procesos y actividades necesarios para evaluar el funcionamiento del sistema de gestión. Está compuesta a su vez por tres sub-cláusulas: — 9.1 Seguimiento, medición, análisis y evaluación. — 9.2 Auditoría interna. — 9.3 Revisión por la dirección. La organización debe determinar qué actividades deben ser supervisadas y cómo. El proceso de auditoría interna y el proceso de revisión por la dirección forman parte de este seguimiento del sistema, que busca asegurarse de que el sistema se ha implementado correctamente, cumple los 65
requisitos de la norma y, lo más importante, que es eficaz. • Cláusula 10: Mejora Por último, desglosado en dos subcláusulas, la cláusula 10 trata de la última fase del ciclo: la mejora. — 10.1 Generalidades. — 10.2 No conformidad y acción correctiva. La organización debe identificar desviaciones (“no conformidades”) y ver la mejor manera de solucionarlas y de evitar que vuelvan a ocurrir, siempre dentro del enfoque hacia la mejora continua de la norma.
4.3. ESTRUCTURA DE ISO 9001:2015 La estructura completa de la norma ISO 9001:2015 es como
66
sigue:
4.4. COMPARACIÓN DE LA ESTRUCTURA DE ISO 9001:2008 E ISO 9001:2015 La nueva estructura de la norma difiere bastante de la anterior, pues si bien muchos los requisitos son similares, ha cambiado la ubicación de muchos de ellos, lo que puede dificultar en un primer momento su localización dentro de la norma. A continuación se muestra la estructura de ambas normas y en el Anexo I Matriz de correlación entre ISO 9001:2008 e ISO 9001:2015, se incluye una tabla comparativa más detallada que relaciona los contenidos de ambas normas y permite relacionar los requisitos de la versión 2008 con su actual equivalente en la versión 2015 —salvo el apartado 7.1.6 67
Conocimiento de equivalencia—.
la
organización,
que
no
tiene
ninguna
Cláusulas de ISO 9001:2008 e ISO 9001:2015
Otro de los objetivos de establecer una estructura común es la simplificación: la unificación de la estructura facilita también la lectura y comprensión de las normas por parte de sus usuarios, entendiendo como tales no solo las empresas, sino también los consultores, auditores y otros expertos.
68
CAPÍTULO 5. NUEVA TERMINOLOGÍA Y CONCEPTOS 5.1. NUEVA TERMINOLOGÍA Uno de los motivos de la adopción de la Estructura de Alto Nivel —como se veía en el capítulo anterior— es facilitar la integración entre las distintas normas de sistemas de gestión. Entre otros problemas, hasta el desarrollo del Anexo SL, no era infrecuente encontrar distintos términos en diferentes normas para referirse a lo mismo, lo que provocaba no pocos dolores de cabeza a las personas responsables de su implementación. Un ejemplo es la integración de los sistemas de calidad, medio ambiente y seguridad y salud laboral, pues las normas y reglamentaciones que deben cumplir las empresas en materia de medio ambiente o de seguridad y salud en el trabajo difieren entre sí y no siempre son fáciles de armonizar con los 69
requisitos de ISO 9001. Con la Estructura de Alto Nivel esto dejará de ocurrir —al menos en aquellas normas que adopten esta estructura— pues para los distintos sistemas se emplearán los mismos términos para referirse a los mismos conceptos. Esto puede no ser especialmente bien recibido por aquellas compañías que ya dispongan de un sistema de gestión de calidad bien documentado y comiencen ahora a planificar la transición hacia la nueva ISO 9001:2015. La idea del trabajo que puede suponer tener que revisar todos sus documentos —y manuales, instrucciones, registros…— para adaptarlos a esta nueva “terminología” puede no resultar demasiado atractiva. No hay problema: la propia norma, en su Anexo A Aclaración de la nueva estructura, terminología y conceptos, aclara que no es un requisito que la organización sustituya los términos que habitualmente utiliza en su actividad diaria o en su sector por los que aparecen en la nueva edición. Estos son algunos de los ejemplos de términos unificados: Proveedor externo
en lugar de
Proveedor, socio, partner, subcontratista…
Información documentada
en lugar de
Documentos, registros, formularios, manuales, protocolos, procedimientos, instrucciones…
Ejemplos de términos que pueden ser usados de forma equivalente Es decir, la norma adopta estos términos para mayor claridad y para facilitar el manejo y comprensión de la norma, pero no obliga a la empresa a utilizarlos.
Por ejemplo, en el sector salud es habitual encontrar el término protocolo para identificar a los documentos que describen cómo llevar a cabo un tratamiento o un ensayo en lugar de 70
procedimientos o instrucciones. Las principales diferencias entre la versión 2008 y la versión 2015 de la norma, se indican en la tabla siguiente.
Ejemplos de términos que han sido modificados Es par ticularmente destacable la desaparición del concepto EXCLUSIÓN que pasa a ser sustituido por la NO APLICABILIDAD de algún apartado, puesto que el cambio más allá de la simple expresión: en la norma ISO 9001:2008 las exclusiones se limitaban a la Cláusula 7 mientras que en la norma ISO 9001:2015 no existe ninguna limitación a la hora de declarar la no aplicabilidad.
Aunque son términos similares, en la práctica se aplican de forma diferente.
Diferencia entre EXLUSIÓN y NO APLICABILIDAD
5.2. NUEVOS CONCEPTOS A continuación se destacan algunos de los conceptos más novedosos de la norma.
71
5.2.1. Información documentada Uno de los cambios más llamativos es el relativo a la documentación del sistema. Desaparecen términos clásicos relativos a la documentación como documentos, procedimientos documentados, instrucciones de trabajo y registros y son sustituidas por un único concepto denominado información documentada con el cual la norma se refiere a cualquier documento involucrado en el sistema.
Ejemplos de documentos que conforman la información documentada Este cambio ha suscitado bastantes dudas a la hora de interpretar correctamente los requisitos de la norma que se refieren explícitamente a que deba existir información documentada relativa a algún proceso.
En la anterior versión de la norma, esta hablaba claramente de procedimientos documentados y hacía referencia al apartado 4.2.4 Control de los registros, cuando exigía la existencia de un registro para proporcionar evidencia de algún proceso o actividad. Se debe establecer un procedimiento documentado para definir las responsabilidades y los requisitos para planificar y realizar las auditorías, establecer los registros e informar de los resultados. Deben mantenerse registros de las auditorías y de sus resultados (véase 4.2.4). Extracto del apartado 8.2.2 Auditorías internas de ISO 9001:2008
72
Lógicamente, para cualquier organización que quiera implementar un sistema de gestión acorde a la norma, es esencial conocer cuál es la extensión mínima que debe tener el sistema documental, tanto a nivel de documentos soporte como de registros. Pues bien, la forma correcta de identificar la documentación mínima obligatoria exigida por la norma ISO 9001:2015 es la siguiente: • Donde la norma ISO 9001:2008 hacía referencia a la necesidad de que existiese un procedimiento documentado, ahora la norma ISO 9001:2015 indica la necesidad de mantener la información documentada (maintain en la versión original en inglés). • Donde la norma ISO 9001:2008 hacía referencia a la necesidad de que existiese un registro, ahora ISO en 9001:2015 se expresa como un requisito para conservar información documentada (retain en la versión original en inglés). • Donde la norma ISO 9001:2015 hace referencia a información en lugar de información documentada, quiere decir que no existe requisito alguno de que esa información se tenga que documentar y es la organización la que decide si es o no apropiado hacerlo. A continuación se muestran algunos ejemplos en los que se encuentran estas expresiones.
73
Ejemplos de requisitos de la norma ISO 9001:2015 que hacen referencia a información documentada En el Anexo II Lista de referencias a información documentada en ISO 9001:2015 se enumeran todas las ocasiones en las que esta versión de la norma alude a la obligatoriedad de disponer de información documentada, sea en forma de procedimiento o registro.
5.2.2. Productos y servicios La norma ISO 9001 está orientada a empresas de todo tipo y sector. Las anteriores versiones de la norma empleaban el término productos si bien se indicaba que se debía entender como referido tanto a productos como a servicios. 74
En la mayoría de los casos, las empresas que fabrican un producto, también suelen prestar un servicio (instalación, puesta en marcha, formación para el uso, reparación, mantenimiento, garantía post-venta…) con lo que la mayoría de outputs que las organizaciones ofrecen a sus clientes combinan estos dos aspectos. La actual versión de la norma ha sustituido la referencia a productos por productos y servicios en todos los casos.
5.2.3. Partes interesadas Las partes interesadas, o grupos de interés (o stakeholders) son aquellas personas, empresas o entidades de todo tipo que pueden afectar o ser afectadas por la actividad de la organización, bien sea de forma positiva (obteniendo algún beneficio) o negativamente (perjudicando o siendo perjudicadas por esta).
Ejemplos de partes interesadas o grupos de interés Este no es un concepto
75
nuevo en el mundo de la calidad, aunque sí es la primera vez que es utilizado por la norma ISO 9001:2015 que hasta ahora se ceñía a la existencia de personal — entiéndase, de la propia organización—, clientes y proveedores.
Uno de los elementos clave de la nueva norma es precisamente identificar las partes interesadas (o grupos de interés), sus requisitos, necesidades y expectativas, con el objetivo estratégico de construir relaciones de beneficio mutuo hacia ellas.
5.2.4. Enfoque basado en el riesgo Otro concepto que aparece por primera vez en la norma ISO 9001 es el pensamiento basado en el riesgo. Este concepto, —que se analiza con detalle en el capítulo 6 de este libro— se presenta en el apar tado 0.3.3 Pensamiento basado en riesgos de la norma y se describe ampliamente en el Anexo A de la misma (Apar tado A.4 Pensamiento basado en riesgos). Este despliegue “explicativo” ya da una idea sobre la importancia que este nuevo concepto tiene para la nueva versión de la norma. En esencia, el enfoque basado en el riesgo consiste en considerar el sistema de gestión como una herramienta preventiva en sí misma, de manera que la planificación de todo el sistema —incluida la decisión sobre mantener o conservar información documentada— se fundamente en un análisis de los riesgos existentes y las mejores alternativas para eliminarlos, o si eso no es posible, mitigarlos hasta niveles aceptables para la organización.
76
Este concepto no es nuevo para otras normas de sistemas de gestión alineadas con el Anexo SL que ya incluyen el análisis de los riesgos como pilar fundamental de la planificación del sistema: por ejemplo, ISO 28000 Sistemas de gestión de la seguridad de la cadena de suministro o ISO 22301 Sistemas de gestión de la continuidad de negocio. Antes de la publicación del Anexo SL y la difusión de la Estructura de Alto Nivel, otras normas de gestión también incluían el análisis de riesgos en sus requisitos; entre otras: OHSAS 18001 Sistemas de gestión de la seguridad y la salud de las personas, ISO 22000 Sistemas de gestión de la inocuidad alimentaria, ISO 13485 Sistemas de gestión de calidad para el sector de los productos sanitarios, ISO/TS 16949 Sistemas de gestión de calidad para el sector automovilístico. En el capítulo 6 se aborda con profundidad este nuevo aspecto de la norma.
77
CAPÍTULO 6. PENSAMIENTO BASADO EN EL RIESGO 6.1. INTRODUCCIÓN Los conceptos riesgo, amenaza, incertidumbre… son palabras que nos causan sensaciones negativas y que de forma prácticamente instintiva, nos hacen buscar maneras de evitarlos. No obstante, el riesgo es, en mayor o menor medida, un componente inherente de la existencia. Cuando cruzamos una calle, podemos elegir varias opciones: atravesar la calle en línea recta, buscar un paso de cebra no regulado o un paso de cebra regulado por semáforo con buena visibilidad… cada una de estas opciones, implica diferentes peligros y genera diferentes niveles de riesgo. En este proceso de decisión, y de forma inconsciente, identificamos los peligros existentes y hacemos un rápido análisis de los riesgos (que nos atropelle un vehículo si cruzamos en línea recta o que un vehículo se salte un semáforo en rojo si decidimos finalmente buscar un paso de cebra regulado…).
78
El apetito por el riesgo del usuario, su disponibilidad de recursos (su estado físico y el tiempo del que disponga, por ejemplo) y la relación final riesgo/beneficio serán los parámetros que influyan a la hora de tomar una decisión u otra. Una vez nos lanzamos a la carretera, estamos gestionando los riesgos existentes porque los hemos identificado, analizado y controlado y asumimos que el riesgo residual es tolerable. De no hacerlo, el resultado puede ser que no lleguemos nunca a atravesarla…
Todos debemos convivir con riesgos e incertidumbres, luego debemos aprender a gestionarlos para que el instinto natural de evitarlos no nos lleve a la paralización y en lo que se refiere a la vida de las empresas, al no emprendimiento, falta de innovación y obsolescencia.
79
6.2. DEFINICIÓN DE RIESGO E INCERTIDUMBRE La definición de RIESGO la encontramos en la nueva versión de la norma ISO 9000:2015 de fundamentos y vocabulario, y aunque se trata de una definición bastante sencilla, se aclara con varias notas complementarias que ayudan a comprender mejor su significado.
Definición de riesgo en ISO 9000:2015
NOTA 1: Un efecto es una desviación de lo esperado, positiva o negativa. NOTA 2: La incertidumbre es el estado, aunque sea parcial, de la deficiencia de información relacionada con la comprensión o el conocimiento de un evento, su consecuencia o su probabilidad. NOTA 3: El riesgo se caracteriza a menudo por referencia a posibles eventos y consecuencias o una combinación de estos. NOTA 4: El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento (incluyendo cambios en las circunstancias) y la probabilidad asociada de ocurrencia. No debemos confundir el riesgo con la incertidumbre, ya que son conceptos diferentes.
80
• El riesgo se presenta cuando una variable puede tomar distintos valores, pero se dispone de información suficiente para conocer las probabilidades asociadas a cada uno de estos valores. Cuando decidimos cruzar la calle con el semáforo en rojo, sabemos cuáles son las consecuencias y la gravedad de las mismas y se pueden emprender acciones que permitan eliminar el riesgo o al menos, disminuir su probabilidad o mitigar sus consecuencias, como mirar a ambos lados para comprobar que en ese momento no pasen vehículos o al menos, podamos estimar si disponemos de tiempo suficiente para hacerlo: no elimina el riesgo pero lo reduce a límites más que aceptables. • La incertidumbre es la imperfección en el conocimiento sobre el estado o los procesos de la naturaleza y se caracteriza porque los distintos escenarios fruto de una estrategia no son conocidos y por tanto, su probabilidad de ocurrencia no es cuantificable. Esto genera una situación de desconocimiento de lo que ocurrirá en el futuro. Es el concepto opuesto a la certeza. Por ejemplo, cuando un director general de una empresa internacional que cotiza en bolsa decide repentinamente dimitir de su puesto, esto tiene un efecto inmediato en su cotización, debido a la incertidumbre que esto suscita entre los inversores… es difícil estimar la probabilidad de un suceso de este tipo y más aún calibrar las consecuencias. La incertidumbre exige un ejercicio de valoración basado en la experiencia, la información que esté en nuestra mano y la intuición en lugar de datos objetivos.
81
Diferencias entre riesgo e incertidumbre 6.2.1. Gestión del riesgo Las organizaciones deben ser conscientes de que existe un riesgo en todos sus procesos y actividades. Sin aceptar esta premisa, con toda probabilidad la mayoría de los negocios desaparecerían, pues ignorar los riesgos supone no controlarlos.
Hemos visto que el riesgo es el efecto que tiene la incertidumbre en el camino de la compañía hacia sus metas y objetivos... las empresas que realmente tienen éxito, no son aquellas que no asumen riesgos sino aquellas que trabajan en comprender cuáles son estas incertidumbres, identificar los posibles riesgos que pueden ocasionar y gestionarlos adecuadamente. Un riesgo existe en el futuro y acaba por ser un problema si no es adecuadamente gestionado y controlado en el presente.
Pero, ¿en qué consiste realmente la gestión del riesgo? La gestión del riesgo es un proceso sistemático para identificar y evaluar —antes de que ocurran— todos los posibles peligros, problemas o sucesos que pueden acabar por generar un riesgo que afecte al éxito de una organización en lo que a alcanzar sus objetivos se refiere, así como el proceso de establecer procedimientos y emprender acciones que permitan evitar los riesgos, minimizar su impacto o reducir sus consecuencias hasta que estas sean asumibles para la organización.
82
Etapas en la gestión del riesgo Estos sucesos pueden provenir del exterior (por ejemplo, cambios en las necesidades y expectativas de los clientes, cambios en las tendencias económicas, inclusión en nuevos mercados, problemas con los proveedores, surgimiento de empresas más competitivas, dificultades en la financiación externa, cambios en la legislación...) pero también pueden surgir del interior de la organización (problemas con las competencias o certificaciones del personal, equipos obsoletos, cambios en la estructura de la organización…).
Factores de riesgo
Cuando estos sucesos interfieren en el camino hacia el éxito de la compañía (o al menos, parece que pudiera llegar a ocurrir) entonces existe un riesgo. En el fondo, la gestión del riesgo se puede condensar en tres 83
sencillas preguntas...
Preguntas básicas para empezar a gestionar un riesgo La capacidad para identificar y hacer frente a los riesgos por parte de una organización es, a menudo, indicativa de su grado de adaptación a los cambios.
El proceso de análisis de riesgos ayuda a las empresas a identificar posibles potenciales eventos adversos, ser más proactivas, disponer de procedimientos de respuesta y en definitiva, a disminuir las “sorpresas” que afecten al negocio y pueden llegar a ocasionar cuantiosas pérdidas, tanto económicas como de imagen. Para ser efectiva, la gestión del riesgo debe ser integrada en los procesos de negocio de forma que facilite información relevante y en el momento adecuado sobre los riesgos a la dirección de la organización.
6.3. PENSAMIENTO BASADO EN EL RIESGO En ediciones anteriores de la norma, ya existía un cierto enfoque preventivo, pues era requisito establecer un proceso de gestión de las “acciones preventivas”, entendiendo como tales aquellas que servían para controlar las “no conformidades potenciales” para evitar que llegasen a ocurrir. El nuevo enfoque basado en el riesgo, es más completo que el anterior pues integra la gestión preventiva en todo el sistema. Ahora la gestión de los riesgos forma parte de una de las etapas iniciales de la implementación —la planificación— y debe ser tenido en cuenta a lo largo de las etapas de revisión y mejora del sistema.
Si es un hecho, no es un riesgo. 84
Los hechos requieren acciones inmediatas, los riesgos requieren planificación.
De esta forma, el sistema se convierte en una herramienta más proactiva (anticipándose al riesgo) que reactiva (actuando cuando el riesgo ya existe) y permite eliminar o al menos reducir o mitigar las consecuencias del riesgo gracias a una rápida identificación y acción sobre el mismo. El pensamiento basado en el riesgo asegura que los riesgos que puedan afectar al éxito serán identificados, evaluados y controlados a través de planes de acción adecuados a sus consecuencias y efectos. Por otro lado, no todos los procesos del sistema de gestión tendrán los mismos niveles de riesgo para la organización en el camino a alcanzar sus objetivos. Algunos procesos —con toda probabilidad aquellos con mayor impacto en la calidad del producto, del servicio o en la satisfacción de los grupos de interés — necesitarán mayor vigilancia, planificación y control de los riesgos que otros. No tiene el mismo nivel de riesgo cruzar una carretera secundaria sin apenas tráfico que una autovía de cuatro carriles, ni tiene el mismo nivel de riesgo cruzar la calle solo que empujando un carrito de bebé con una mano, y con un niño de corta edad en la otra…
85
El concepto “riesgo” suele tener connotaciones negativas, es decir, suele interpretarse como un conjunto de sucesos con consecuencias malas para la organización. Sin embargo, el efecto de un riesgo puede ser tanto positivo como negativo; de hecho, la norma se refiere tanto a riesgos como a oportunidades. Debemos aclarar que una oportunidad no es la cara positiva de un riesgo, sino un conjunto de circunstancias que hacen posible hacer algo —mejor, en la mayoría de los casos —. Aprovechar o no una oportunidad, puede tener diferentes riesgos. Por ejemplo, cruzar la calle en línea recta nos da la oportunidad de llegar al otro lado más rápido, pero lo cierto es que si aprovechamos esa oportunidad, también aumentan los riesgos de ser atropellados por un vehículo.
6.4. ¿POR QUÉAPLICAR EL ENFOQUE BASADO EN EL RIESGO? El pensamiento basado en el riesgo tiene efectos muy positivos para cualquier organización pues mejora su capacidad para alcanzar los objetivos… esto redunda muy positivamente en la confianza de sus grupos de interés: • Los clientes pueden disponer de productos y servicios de calidad acorde a sus requisitos y expectativas. • Los accionistas e inversores ven cómo aumentan sus beneficios. • Los proveedores cuentan con un cliente que se consolida. • El personal interno ve como la organización de la que forma parte asegura su futuro.
86
Otras ventajas de aplicar el pensamiento basado en el riesgo son: • La mejora generalizada de la gestión de la organización. • Un mejor conocimiento del entorno. • El establecimiento de la cultura de la proactividad como un camino para la mejora. • Un mayor cumplimiento de la legislación y los requisitos en general. • La mejora significativa de la confianza y la satisfacción de clientes. • Mejor capacidad de reacción ante los cambios, tanto internos como externos.
6.5. ENFOQUE AL RIESGO EN OTRAS NORMAS La gestión del riesgo no es un descubrimiento de ISO 9001:2015 ni mucho menos; existen numerosas normas que han incluido la gestión del riesgo como un proceso más del sistema de gestión. A continuación se muestran varios ejemplos de normas que incluyen la gestión de los riesgos entre sus requisitos.
6.5.1. Sistemas de gestión de la continuidad de negocio. ISO 22301 En la mente de todos están los devastadores efectos del tsunami que se originó en Japón y asoló las costas asiáticas en 87
2004, la destrucción causada por el huracán Katrina en la costa atlántica de los Estados Unidos en 2005 o el incendio de la Torre Windsor en Madrid (edificio de oficinas que albergaba importantes empresas de consultoría, bufetes de abogados, notarías...) también en 2005.
Catástrofes naturales con efectos más devastadores Inundaciones, huracanes, incendios... Las pérdidas que ocasionan estos incidentes en las empresas de la zonas afectadas suelen ser muy graves y a menudo, muchas de las compañías afectadas no son capaces de recuperarse ante la grave pérdida de información, instalaciones y equipamientos, por no hablar de las pérdidas personales.
La norma ISO 22301 especifica los requisitos que debe satisfacer un sistema de gestión que esté orientado a proteger a la empresa de cualquier incidente que provoque una interrupción de su actividad así como establecer procedimientos para la reanudación de la misma en el caso de que finalmente llegue a suceder. “Esperar lo inesperado” podría ser uno de los lemas de esta norma. Uno de los procesos clave de su implementación es precisamente la identificación y posterior evaluación de los riesgos que pueden afectar al desempeño de la actividad. Pero no todo se reduce a desastres naturales de daño incalculable, otros riesgos más habituales son: • Robos, sabotajes y acciones terroristas. 88
• Fallo en las tecnologías de la información informáticas, comunicaciones...).
(redes
• Problemas relacionados con las personas (bajas inesperadas, epidemias, fallos en el transporte del personal...). • Fallos en la cadena de suministro (proveedores de primer y segundo nivel). El sistema de gestión de la continuidad de negocio permite evaluar estas amenazas y cómo afectan a los procesos de producción y de prestación del servicio; el objetivo de la empresa es no parar la actividad o al menos, recuperarla en un plazo de tiempo óptimo.
6.5.2. Sistemas de gestión de la seguridad de la información. ISO 27001 La gestión del riesgo también es una parte esencial en la norma ISO 27001. En la introducción de la versión 2013 de la norma, se indica que el sistema de gestión de seguridad de la información está orientado a preservar la confidencialidad, integridad y disponibilidad de la información aplicando un proceso de gestión de riesgos a sus activos que da confianza a todas las partes implicadas de que los riesgos se están gestionando adecuadamente. En resumen, la reducción de los riesgos implica una mejora de la seguridad de la información. En el ámbito de la seguridad de la información, un riesgo es la posibilidad de que una amenaza concreta pueda explotar la vulnerabilidad de un activo y causarle un daño.
89
Definición de activo de información Los activos se suelen clasificar en software (aplicaciones informáticas), hardware (equipos informáticos, dispositivos de almacenamiento…), servicios (telefonía, informática), imagen, información y personas.
Activos de una organización
Las vulnerabilidades más frecuentes de los activos están asociadas con: • Fallos en la seguridad de las instalaciones (protección física del edificio). • Desastres naturales incontrolables. • Amenazas internas. • Sabotajes. • Robos o destrucción de activos por parte del personal. • Intrusiones externas (virus, troyanos…). • Fallos en los procedimientos de control o controles de 90
acceso no definidos (por ejemplo, en la asignación y renovación de claves y contraseñas…). • Defectos en la configuración del hardware (insuficiente capacidad de los discos duros, poca memoria…). • Software mal configurado o desactualizado. • Mala —o ausencia de— gestión de las copias de seguridad. • Dependencia exclusiva de un proveedor de servicios externo. • Pérdida de los activos. Las metodologías más conocidas para la gestión de riesgos en el ámbito de la seguridad de la información se muestran a continuación. MAGERIT
De uso muy extendido en España, sobre todo en Administraciones Públicas, al haber sido desarrollada por el Consejo Superior de Administración Electrónica. No es demasiado conocida a nivel internacional.
CRAMM
De origen británico, fue desarrollada por el CCTA (Central Computer and Telecommunications Agency). Tiene reconocimiento a nivel internacional y su desarrollo es bastante simple: identificación y valoración de activos, valoración de amenazas y vulnerabilidades y selección de contramedidas.
OCTAVE
Fue desarrollada en Estados Unidos por el SEI (Software Engineering Institute) y aunque es algo más compleja de aplicar, está aceptada internacionalmente.
NIST 800-30
También de origen norteamericano, 91
fue desarrollada por el NIST (National Institute of Standards and Technnology). Su uso está prácticamente limitado a las Administraciones Públicas norteamericanas. Es bastante sencilla e intuitiva de manejar. ISO 31000
Norma internacional de referencia para la gestión de los riesgos. Puede aplicarse no solo a los riesgos relacionados con la seguridad de la información sino a cualquier tipo de riesgo.Metodologías para el análisis del riesgo en la seguridad de la información
Metodologías para el análisis del riesgo en la seguridad de la información 6.5.3. Sistemas de gestión de la seguridad y la salud laboral. OHSAS 18001
La norma OHSAS 18001 es probablemente el estándar internacional más extendido en todo el mundo para la implementación de sistemas de gestión de la seguridad y la salud en el trabajo. Como ocurre en los casos anteriores, la evaluación del riesgo es una parte fundamental de la norma, en este caso, orientado específicamente a los riesgos de seguridad y salud a los que pueda estar expuesto el trabajador como consecuencia de ocupar uno o varios puestos de trabajo. La metodología a seguir es la misma que hemos visto en otras ocasiones: identificación del peligro, estimación del riesgo (en base a la probabilidad de ocurrencia y a la gravedad de las consecuencias), valoración del riesgo y gestión del riesgo, esto es, planificación de las acciones más adecuadas para eliminarlo o mitigarlo, según corresponda o sea posible en cada caso. En el ámbito de la seguridad y salud laboral, un riesgo es la combinación de la probabilidad de que ocurra un suceso 92
peligroso o la exposición a un peligro y la severidad del daño o deterioro de la salud causado por este. Las áreas o actividades con mayores riesgos potenciales son: • Mantenimiento e instalación de equipos y sistemas. • Operaciones de limpieza. • Gestión del tráfico interno. • Zonas ATEX. • Trabajos en altura. • Trabajos en espacios confinados. • Trabajos en entorno eléctrico. • Almacenes de sustancias peligrosas. • Áreas de trabajo con sustancias biológicas contaminantes. • Trabajos con equipos de movimiento y manipulación de material (carretillas elevadoras, puentes-grúa, plataformas elevadoras…).
Y los peligros más frecuentemente identificados en las organizaciones son: • Caídas al mismo y a distinto nivel. • Caídas de objetos. •
Choque contra Atropellos.
objetos,
inmóviles
93
o
en
movimiento.
• Contacto con elementos móviles de una máquina. • Golpes con objetos y herramientas. • Proyecciones de partículas o fragmentos de piezas y componentes. • Atrapamiento por o entre objetos. • Sobre esfuerzos. • Temperaturas extremas, tanto altas como bajas. • Contactos eléctricos, tanto directos como indirectos. • Inhalación o ingestión de sustancias tóxicas o nocivas. • Contacto con sustancias corrosivas. • Exposición a radiaciones. • Explosiones e incendios. • Enfermedades causadas por agentes químicos, físicos y biológicos. La organización ISO está desarrollando una nueva norma, ISO 45001, sobre la seguridad y salud laboral que será publicada con casi total seguridad a finales de 2016. Aunque tomando como base la OHSAS 18001, Esta norma estará alineada con las actuales ISO 9001 e ISO 14001 recientemente publicadas en 2015 lo que simplificará la integración de estos tres sistemas de gestión.
94
Sistemas integrados de calidad, medio ambiente y seguridad laboral 6.6. GESTIÓN DEL RIESGO EN ISO 9001:2015
Como evidencia de la importancia que el pensamiento basado en el riesgo tiene para ISO 9001:2015, basta una primera lectura de la norma para caer en la cuenta de que el concepto del riesgo aparece mencionado en varias ocasiones: • INTRODUCCIÓN: se describe el concepto de pensamiento basado en el riesgo. • CLÁUSULA 4: la organización es requerida para identificar los procesos de su sistema de gestión de calidad así como sus riesgos y oportunidades. • CLÁUSULA 5: la dirección de la organización es requerida a promocionar el pensamiento basado en el riesgo y a determinar los riesgos y oportunidades que puedan afectar a la conformidad del producto y del servicio. • CLÁUSULA 6: la organización es requerida a identificar riesgos y oportunidades relacionadas con la implementación del sistema de gestión de calidad y a tomar acciones apropiadas al respecto (el apartado 6.1 es el denominado “Acciones para abordar riesgos y oportunidades” y es el que establece el requisito para llevar a cabo el análisis de riesgos de los procesos).
6.1 Acciones para tratar riesgos y 95
oportunidades
• CLÁUSULA 7: la organización es requerida a determinar los recursos necesarios para los procesos del sistema de gestión, incluida la gestión de los riesgos. • CLÁUSULA 8: la organización es requerida a gestionar sus procesos operativos, incluida la gestión de los riesgos. •
CLÁUSULA 9: la organización es requerida para el seguimiento, medición, monitorización y evaluación de la efectividad de sus planes de acción incluidos aquellos tomados para la gestión de los riesgos y las oportunidades.
• CLÁUSULA 10: la organización debe corregir, prevenir o reducir los efectos no deseados y mejorar continuamente el sistema de gestión, incluyendo riesgos y oportunidades. No obstante, en ningún apartado de ISO 9001:2015 se especifica qué metodología de gestión del riesgo debe ser aplicada, ni en la descripción de los requisitos relacionados con la gestión de los riesgos ni en las notas aclaratorias. Tampoco en el Anexo A (informativo) “Aclaración de la nueva estructura, terminología y conceptos”, (concretamente en el apartado A.4 Pensamiento basado en riesgos) en el que se alude a la posibilidad de que la organización desarrolle una 96
metodología de la gestión del riesgo mediante la aplicación de normas pero no especifica cuáles. Esta indefinición por parte de la norma ISO 9001:2015 en lo que a la metodología de gestión del riesgo se refiere, ha llevado a que de forma prácticamente unánime, se recomiende la aplicación de la norma ISO 31000:2010 Gestión del riesgo. Principios y directrices. No obstante, cada organización es libre de establecer o no una metodología acorde a esta norma o emplear otros métodos, en función del sector o actividad de la organización, Algunos ejemplos de estos métodos son: • El método AMFE (Análisis Modal de Fallos y Efectos) para el análisis de los riesgos en el sector industrial en general y del automóvil en particular. • El análisis HACCP (Análisis de Peligros y Puntos de Control) en el sector alimentario. • La norma ISO 14971 Productos sanitarios. Aplicación de la gestión de los riesgos a los productos sanitarios, para el caso de fabricantes de este tipo de productos.
6.7. METODOLOGÍA DE GESTIÓN DEL RIESGO SEGÚN ISO 31000 La norma ISO 31000:2010 Gestión del riesgo. Principios y directrices propone unas directrices generales para la gestión del riesgo y por tanto, puede ser aplicada por organizaciones de todo tipo para evaluar los riesgos de sus procesos, productos, servicios, proyectos y activos. Según ISO 31000, una gestión del riesgo eficaz se asienta sobre los siguientes principios: a) Crea valor b) Está integrada en los procesos de la organización c) Forma parte de la toma de decisiones d) Trata explícitamente la incertidumbre e) Es sistemática, estructurada y adecuada f) Está basada en la mejor información disponible g) Está hecha a medida de la organización h) Tiene en cuenta factores humanos 97
y culturales i) Es transparente e inclusiva j) Es dinámica, iterativa, y sensible al cambio k) Facilita la mejora continua de la organización Principios básicos para la gestión de riesgos ISO 31000 Esta norma define el riesgo teniendo en cuenta tanto las situaciones negativas (que nos apartan de los objetivos) como las positivas (que suponen oportunidades) y es de tipo “generalista” —como ISO 9001—. Puede ser utilizada para gestionar cualquier tipo de riesgo, independientemente de cual sea su origen o su naturaleza, lo que hace que sea una norma aplicable en distintos ámbitos y en numerosos estándares de gestión y la hace especialmente interesante para la gestión del riesgo en ISO 9001.
Ejemplos de tipos de riesgos
Según esta metodología, una vez identificados los riesgos de los procesos, la organización debe establecer unos criterios que le permitan clasificarlos en función de su probabilidad de ocurrencia y del impacto que tengan en la organización si finalmente llegan a producirse. Aunque es posible establecer criterios cualitativos, cuantitativos y semi-cuantitativos para estimar los valores de las consecuencias 98
y de la probabilidad, lo más habitual es que las organizaciones empleen métodos cualitativas, por ejemplo, “alto”, “medio”, “bajo”… El nivel de riesgo final es la combinación de los parámetros de consecuencias y probabilidad, que suele representarse mediante una matriz, en la que cada celda representa un nivel de riesgo. En función de los niveles alcanzados por los distintos riesgos, la organización tendrá que abordar un plan de acciones concreto que permitan eliminarlos por concreto (en los casos de riesgos intolerables), o mitigarlos si lo anterior no fuese posible. Veamos con profundidad cómo es el proceso de gestión del riesgo propuesto por ISO 31000 que se resume en la figura siguiente.
Metodología de gestión del riesgo • Identificación del peligro La identificación de los peligros es la base del proceso de gestión del riesgo. Consiste en identificar y conocer con detalle las posibles fuentes, orígenes y causas de los riesgos, a cuántas personas o bienes puede afectar, sus consecuencias potenciales, las áreas de impacto, etc.
No todos los sucesos que ocurren en una empresa son susceptibles de generar un riesgo; no obstante, el objetivo de esta 99
etapa es generar una lista tan exhaustiva como sea posible de peligros, de forma que no ningún riesgo pueda llegar a pasar inadvertido. La norma no especifica ningún método ni técnica específica para realizar esta identificación y deja la puerta abierta al uso de aquellas que mejor se adapten a la organización (inventarios de eventos, grupos de trabajo, entrevistas, cuestionarios, encuestas…) y al tipo de riesgos al que esté expuesta.
Tipología de riesgos identificados en REPSOL
• Análisis del riesgo Para ISO 31000 el análisis del riesgo supone la valoración de su probabilidad y de sus consecuencias tanto positivas como negativas —bien mediante métodos cuantitativos, cualitativos o mixtos— con diferentes grados de detalle, según los datos e información disponibles. Los resultados del análisis del riesgo son empleados para evaluar el riesgo y decidir si es necesario emprender alguna acción o procedimiento para tratar los riesgos, así como las estrategias y los métodos de tratamiento del riesgo más adecuados. Una de las sistemáticas más habituales de análisis de riesgo es otorgar valores cualitativos tanto a la probabilidad de ocurrencia 100
como a las consecuencias (por ejemplo: MUY ALTO/ALTO/MEDIO/BAJO/MUY BAJO), y en base a la combinación de ambos parámetros establecer una clasificación del riesgo que va desde el más bajo al más alto según la siguiente matriz de valoración del riesgo.
Ejemplo de una matriz de valoración del riesgo Esto permite establecer distintos rangos entre los riesgos y asignar prioridades a la hora de asignar los recursos y emprender las acciones de tratamiento.
• Evaluación del riesgo La fase de evaluación del riesgo permite decidir sobre las acciones que la organización va a emprender para tratar el riesgo, que van desde la ausencia de las mismas (en el caso de riesgos insignificantes) hasta la eliminación total de la actividad que genera el riesgo (en el caso de riesgos intolerables). La norma ISO 31000 y su complementaria, ISO 31010 describen varios modelos de evaluación del riesgo que la organización puede aplicar.
Herramientas y técnicas para la evaluación de riesgos • Tratamiento del
101
riesgo Este proceso supone la selección e implementación de medidas para eliminar el riesgo (si es posible) o al menos, intentar disminuir su probabilidad o mitigar sus consecuencias si finalmente tiene lugar, hasta que los riesgos residuales sean tolerables para la organización.
El abanico de acciones es amplio y se muestra en la figura siguiente.
En la mayoría de las ocasiones las acciones para tratar los riesgos combinan varias de estas estrategias en un plan de tratamiento de los riesgos, que especifica las acciones que deben ser llevadas a cabo, los responsables, los plazos de ejecución y de verificación de su eficacia, los recursos necesarios... • Seguimiento y medición del riesgo La gestión del riesgo es un proceso cíclico del tipo del Diagrama PDCA (Plan/Do/Check/Act) cuya eficacia reside en el proceso de aprendizaje y mejora gracias al análisis de los datos. Por tanto, el seguimiento y medición del riesgo son el último paso del ciclo cuyo objetivo es mejorar la eficacia de los planes de tratamiento del riesgo en base a los datos recolectados en su seguimiento periódico.
102
Ciclo PDCA aplicado a la gestión del riesgo 6.8. EL RIESGO DE LA GESTIÓN DEL RIESGO
Como punto final a este capítulo sobre la gestión del riesgo, merece la pena hacer una última reflexión sobre los riesgos que tiene una gestión del riesgo mal entendida y aplicada. Parece “gratis” decir NO a una gran oportunidad por miedo al riesgo que ello pueda suponer y en muchas ocasiones, el proceso de análisis de un riesgo acaba suponiendo una ralentización en la toma de decisiones por parte de la compañía. Hay una expresión que resume muy bien esta situación The paralysis by the analysis Esta expresión trata de describir el peligro que supone analizar hasta el exceso una situación de forma que nunca llega a tomarse una decisión ni se emprenda ningún tipo de acción relativa a la misma o cómo el problema más sencillo puede convertirse en una cuestión irresoluble si le damos suficientes vueltas… El miedo y la aversión al riesgo pueden llevar a la compañía a situaciones igual de indeseables que el exceso de riesgo o la falta 103
de análisis. Para ello, lo mejor es abordar el proceso de gestión de los riesgos de la mano de un cronograma que nos obligue a respetar plazos de ejecución en las tareas a llevar a cabo: identificación de peligros, análisis de los riesgos, y especialmente, plan de tratamiento de los riesgos.
“Si empleas demasiado tiempo pensando sobre algo… nunca conseguirás que se haga” Bruce Lee De modo que mantengamos el enfoque en el riesgo pero sin perder de vista el rumbo a seguir… la consecución de los objetivos de calidad y de la organización en su conjunto.
104
CAPITULO 7. OTRAS NOVEDADES 7.1. INTRODUCCIÓN La nueva estructura de alto nivel y el pensamiento basado en el riesgo son, sin duda alguna, los cambios más espectaculares de la norma ISO 9001:2015… pero no son los únicos ni los que más polémica están generando en el sector y entre los usuarios. Esos cambios respecto de la versión 2008, relacionados tanto con nuevos requisitos que aparecen como a requisitos habituales en anteriores versiones que desaparecen de la norma son objeto de revisión en este capítulo. Entre los nuevos requisitos que aparecen están la identificación del contexto y de las partes interesadas, la gestión del servicio post-venta y la gestión del conocimiento.
105
Nuevos requisitos de ISO 9001:2015
Entre los requisitos que desaparecen, los más representativos son las acciones preventivas y dos grandes clásicos de la gestión de calidad como son el representante de la dirección o el manual de calidad.
Requisitos que desaparecen de ISO 9001:2015
7.2. IDENTIFICACIÓN DEL CONTEXTO Y DE LAS PARTES INTERESADAS La cláusula 4 Contexto de la organización es también la primera novedad con la que nos encontramos al abordar el apartado de los requisitos de la norma (recordemos que los apartados 0 al 3, corresponden a la Introducción, Objeto y campo de aplicación, Referencias normativas y Definiciones, respectivamente). A lo largo de dos sub-cláusulas, se describe cómo la organización debe identificar el contexto en el que está inmersa, así como las necesidades y expectativas de sus grupos de interés (partes interesadas o stakeholders).
4. Contexto 4.1. Comprensión de la organización y de su contexto La organización debe determinar cuáles son las cuestiones externas e internas que son pertinentes para su propósito y su dirección estratégica, y que afectan a su capacidad para lograr los resultados previstos de su sistema de gestión. 106
La organización debe realizar el seguimiento y la revisión de la información sobre estas cuestiones externas e internas. 4.2. Comprensión de las necesidades y expectativas de las partes interesadas Debido a su efecto o efecto potencial en la capacidad de la organización de proporcionar regularmente productos y servicios que satisfagan los requisitos del cliente así como los legales y reglamentarios, la organización debe determinar: a) Las partes interesadas que son pertinentes al sistema de gestión de calidad; b) Los requisitos pertinentes de estas partes interesadas para el sistema de gestión de calidad. La organización debe realizar el seguimiento y medición de la información sobre estas partes interesadas y sus requisitos pertinentes. Extracto de ISO 9001:2015 El análisis del contexto para una organización supone realizar un ejercicio en el que la dirección identifique: • Contexto externo: reglamentos y normas que aplican a la organización y su actividad, mercados en los que trabaja, estado de las tecnologías, competencia, aspectos culturales, políticos y sociales y situación económica. Todo aplicado a nivel regional, nacional o internacional en función de cada caso. • Contexto interno: valores, cultura, y funcionamiento general de la entidad, sus recursos, sus activos, capacidades…
Aspectos que intervienen en el contexto Ya que se menciona específicamente las “cuestiones externas e internas” una buena herramienta para la evaluación del contexto puede ser la matriz FODA/DAFO (cuyas siglas provienen de los
107
conceptos Fortalezas, Oportunidades, Debilidades y Amenazas) que permite, de forma muy sencilla, hacer un diagnóstico de la situación en la que se encuentra la empresa.
Análisis DAFO
• Debilidades: aspectos poco consolidados o áreas de mejora que tienen un origen interno (por ejemplo, carencias en competencias clave, problemas de financiación, instalaciones obsoletas…). • Amenazas: aspectos negativos que provienen del exterior (por ejemplo: exceso de competencia, o empresas de la competencia mejor posicionadas o con más y mejores recursos, cambios en los intereses y gustos de los clientes, cambios adversos en la legislación…). • Fortalezas: aspectos positivos que tienen que ver con la propia organización (por ejemplo, habilidades y recursos tecnológicos superiores, buena imagen de marca o campañas de marketing exitosas). • Oportunidades: aspectos positivos relacionados con el entorno externo (por ejemplo, posibilidad de entrar en nuevos mercados, eliminación de barreras comerciales en mercados atractivos…).
108
Ejemplo de Análisis DAFO de un joven profesional Llevar a cabo un análisis DAFO al principio de la implementación de un sistema de gestión es una buena manera de mejorar el conocimiento que la organización tiene sobre sí misma y facilita posteriores etapas, como el análisis de riesgos de los procesos o el establecimiento de los objetivos de calidad.
Por otro lado, la organización debe identificar cuáles son sus grupos de interés y averiguar cuáles son sus necesidades y expectativas. Con este nuevo requisito, la norma ISO 9001 amplía el foco de la organización, que hasta ahora se centraba fundamentalmente en obtener la satisfacción de los clientes, a otras personas y grupos que también son de interés para la organización y que de una manera u otra, influyen en su funcionamiento. El análisis de las necesidades y expectativas de los grupos de interés, son fuente de identificación de oportunidades y amenazas para la organización. Estos grupos o stakeholders, están tanto dentro como fuera de la organización: • Grupos de interés internos: los trabajadores, los accionistas, los socios… • Grupos de interés externos: los proveedores y los clientes, 109
pero también la sociedad en su conjunto, las administraciones públicas, las universidades, los medios de comunicación…
Grupos de interés internos y externos Las herramientas para identificar las necesidades y expectativas de los grupos de interés van desde las encuestas de satisfacción a los grupos focales.
A continuación se muestra un ejemplo correspondiente a una entidad del sector farmacéutico.
110
Grupos de interés en una empresa farmacéutica Tanto la identificación del contexto como la identificación de las necesidades y expectativas de los grupos de interés no son aspectos nuevos en el mundo de la calidad. Si bien han sido adoptados ahora por ISO, ya forman parte desde hace tiempo de otros modelos de gestión como el modelo de Excelencia EFQM o el modelo de Responsabilidad Social SGE-21.
7.3. GESTIÓN DEL SERVICIO POST-VENTA Aunque digamos que el apartado 8.5.5 que trata de las “Actividades posteriores a la entrega” es nuevo, en realidad, no es que las actividades comúnmente llamadas “servicio post-venta” no estuviesen contempladas en anteriores versiones de la norma… al fin y al cabo, el alcance del sistema es el ha marcado siempre qué actividades estaban incluidas en el sistema de que gestión. Digamos que la novedad es que ahora se establecen requisitos específicos en relación con estas actividades que antes podían pasar un poco más desapercibidas englobadas en el contexto de la “producción” o la “prestación del servicio”.
La norma las engloba en “actividades posteriores a la entrega” y las trata en el punto 8 OPERACIÓN. 8.5.5. Actividades posteriores a la entrega La organización 111
debe cumplir los requisitos para las actividades posteriores a la entrega asociadas con los productos y servicios. Al determinar el alcance de las actividades posteriores a la entrega que se requieren, la organización debe considerar: a) Los requisitos legales y reglamentarios; b) Las consecuencias potenciales no deseadas asociadas a sus productos y servicios; c) La naturaleza, el uso y la vida útil prevista para sus productos y servicios; d) Los requisitos del cliente; e) La retroalimentación del cliente. Extracto de ISO 9001:2015 Los requisitos de la norma se pueden resumir en cumplir con las obligaciones contractuales y con los requisitos legales y reglamentarios que sean de aplicación (por ejemplo, la Ley de Garantías). En cualquier caso, la organización debe ser consciente de que se recoge información muy útil sobre la calidad del producto y sobre la satisfacción del cliente en el desempeño de esas actividades posteriores a la entrega. Por ejemplo, la mayoría de empresas con un alto nivel de servicio post-venta (por ejemplo, fabricantes de vehículos, electrodomésticos, etc.) cuentan con indicadores del número de reparaciones o sustituciones del producto en garantía como medida objetiva de la calidad del producto. Existen muchas empresas, sobre todo del sector servicios, en los que este apartado de la norma no será de aplicación, al no realizarse ningún servicio al cliente posterior a la entrega: hoteles, empresas de consultoría, entidades de formación… aunque deberán analizar bien el alcance de su sistema de gestión antes de declarar la no aplicabilidad de este apartado.
112
7.4. GESTIÓN DEL CONOCIMIENTO En el apartado dedicado a los Recursos (dentro del punto 7 Soporte) la norma ha incluido un último apartado dedicado a los conocimientos organizativos. 7.1 6. Conocimientos de la organización La organización debe determinar los conocimientos necesarios para la operación de sus procesos y para lograr la conformidad de sus productos y servicios. Estos conocimientos deben mantenerse y ponerse a disposición en la medida que sea necesario. Cuando se abordan las necesidades y tendencias cambiantes, la organización debe considerar sus conocimientos actuales y determinar cómo adquirir o acceder a los conocimientos adicionales necesarios y a las actualizaciones requeridas. Extracto de ISO 9001:2015 Los conocimientos de la organización son conocimientos específicos que la compañía posee, generalmente, gracias a la experiencia. El problema es que muchas veces, son determinadas personas y no la empresa en su conjunto las que acumulan la experiencia y conocimiento. La pérdida —temporal o definitiva— de cualquiera de estas 113
personas supone entonces un problema para la organización (por ejemplo, cada vez que se produce una baja por enfermedad, o periodo de vacaciones o simplemente el trabajador es “fichado” por otra empresa) La organización debe estudiar este riesgo y buscar la forma de que el conocimiento se ponga a disposición del resto de la organización en forma de información manejable y accesible: acciones formativas o de tutorización, elaboración de procedimientos e instrucciones de trabajo, manuales, metodologías… Estas estrategias para identificar, organizar, compartir y difundir el conocimiento de las personas para ponerlas al servicio de la organización se denominan “gestión del conocimiento”.
Acciones básicas de la gestión del conocimiento La gestión del conocimiento tiene por objetivo fundamental transferir el conocimiento desde los puntos en los que se genera hasta los puntos en que será utilizado e implica que internamente, la organización desarrolle los mecanismos necesarios para identificarlo, compartirlo entre sus miembros, así como otorgarle el valor que se merece y protegerlo frente a amenazas externas.
Este proceso supone el uso de diversas técnicas (la mayoría de ellas basadas en las tecnologías de la información) para capturar, organizar, almacenar, proteger y administrar la información para transformarlo en un activo intelectual, un valor para la organización.
114
Aspectos básicos de la gestión del conocimiento Por otro lado, los requisitos de la norma no son tan ambiciosos y no exigen implementar un sistema de gestión del conocimiento sino un análisis básico de este proceso.
La norma pide a las organizaciones que determinen cuales son los conocimientos necesarios para el correcto funcionamiento de sus procesos y para lograr la conformidad de sus productos y servicios. Si se debe hacer frente a un cambio —lo que en el mundo empresarial, es bastante frecuente— se debe hacer una evaluación del conocimiento actual y de la/s estrategia/s más adecuada/s para mejorarlo. Bajando un nivel en el grado de concreción, la norma indica que uno de los aspectos que está incluido en el conocimiento organizativo es la propiedad intelectual.
115
Elementos que forman parte de la propiedad intelectual industrial Es decir, no se exige realmente que la organización implemente un proceso de gestión del conocimiento complejo… sino que tenga en cuenta aspectos básicos del mismo como identificar los conocimientos que son críticos para la producción y la prestación del servicio, o la protección de la propiedad intelectual, aunque ciertamente identificar, proteger y gestionar adecuadamente el conocimiento de las organizaciones sea un proceso que aporta gran valor a las mismas.
7.5. DESAPARICIÓN DE LAS ACCIONES PREVENTIVAS Hemos visto en el capítulo anterior como el pensamiento basado en el riesgo convierte el sistema de gestión de calidad en una herramienta preventiva en sí misma. La primera consecuencia lógica de este enfoque es la desaparición de las acciones preventivas —creadas en el pasado con el objetivo de eliminar las causas de las no conformidades “potenciales” para que estas no llegaran a ocurrir—. Se mantienen, eso sí, las acciones correctivas, pues su objetivo es totalmente diferente y se emprenden cuando el incidente finalmente ha tenido lugar para identificar y evaluar sus causas y tratar de evitar que ocurra de nuevo.
Acciones correctivas y acciones preventivas En resumidas cuentas, “parece” que las acciones preventivas desaparecen pero en realidad están integradas en la gestión del riesgo pues cualquier acción que se emprenda para eliminar o mitigar riesgos tendrá un carácter inconfundiblemente preventivo.
Eso sí, será más correcto llamarlas “acciones de tratamiento del riesgo” en lugar de “acciones preventivas”.
7.6. DESAPARICIÓN DE LA FIGURA “REPRESENTANTE DE LA DIRECCIÓN” 116
De las tres “desapariciones” identificadas en la nueva versión de ISO 9001:2015 —junto con las acciones preventivas y el manual de calidad— quizás sea la desaparición del representante de la dirección la que más polémica está generando en el mundo de la calidad en general y entre empresas, auditores y consultores en particular (y qué decir de aquellas personas que desempeñan actualmente este cargo…). El primer susto lo dio el borrador DIS 9001:2015, en el que se pudo comprobar que no se hacía ninguna referencia al antaño representante de la dirección que tenía sus funciones y responsabilidades claramente definidas en versiones anteriores.
Responsabilidades y autoridades del Representante de la dirección según ISO 9001:2008
El borrador definitivo FDIS y posteriormente la propia norma, confirmó lo que ya nos temíamos y a partir de ahora los sistemas de gestión de la calidad tendrán que sobrevivir sin representante de la dirección o como comúnmente ha sido denominado, el responsable de calidad. Pero, ¿qué tanto de cierto hay en esto? ¿Será ahora el director general quién redacte las no conformidades y planifique las auditorías internas? ¿Realmente los responsables de calidad tendrán que buscar nuevos empleos…? Bueno… lo cierto es que la norma ha eliminado la referencia a la figura del representante de la dirección, pero eso no quiere decir que sus funciones y responsabilidades desaparezcan sino que pasan a ser asumidas por la dirección de la organización. 117
El objetivo de la norma es implicar más aún a la dirección en el sistema de gestión y descansar directamente en sus manos la labor de asegurar que realmente se implementa, mantiene y mejora continuamente. La figura del representante de la dirección, originalmente pensada para ser un enlace entre la dirección y el sistema de gestión ha tendido siempre a convertirse en la “figura para todo” dentro del sistema: responsable del control de documentos, responsable de emprender acciones correctivas, responsable de gestión de planes de auditorías, auditor líder, formador… Ahora, la dirección de la organización debe asumir “sin enlaces” las responsabilidades que le otorga la norma, como por ejemplo: • Asegurar que se implementan las políticas y objetivos de calidad y que estos son coherentes con la dirección estratégica de la entidad. • Asegurar que el sistema de gestión de calidad está integrado con el resto de procesos de negocio. • Asegurar la disponibilidad de recursos. • Asegurar que se alcanzan los resultados previstos. Lo que parece complicado es que la dirección de la organización —tampoco la norma lo exige— pueda llevar adelante con éxito esta tarea en solitario. Tendrá que recurrir a un equipo más o menos grande que le apoye en la tarea de liderar e impulsar el sistema de gestión y su mejora continua.
118
En el apartado dedicado a los roles, responsabilidades y autoridades de la organización, la norma nos conduce a un proceso según el cual se deben asignar responsabilidades y autoridades a las personas que aporten valor en la dirección estratégica de la entidad…como son los responsables de los procesos. Es decir, perdemos un único responsable de calidad para ganar un equipo de responsables de procesos más eficaz y eficiente, pues dispondrán de mayor autoridad para asegurar que se alcanzan los resultados esperados. Casi podríamos decir que cada líder de proceso se convierte en un representante de la dirección en lo que se refiere a la gestión de su propio proceso. De esta forma, con total seguridad, la persona que haya desempeñado las funciones y responsabilidades del representante de la dirección en el pasado podrá ser integrada con facilidad en este equipo de trabajo.
Asignación de funciones según ISO 9001:2008
119
Asignación de funciones según ISO 9001:2015
Sin duda, este es un cambio de gran calado en la mayoría de las empresas, especialmente en las pymes, que deben realizar una evaluación profunda de las competencias de su personal antes de pasar a asignar funciones y responsabilidades como las anteriormente descritas, pero también dará mucho más significado a la figura del responsable de proceso y reforzará el enfoque a procesos en la organización.
7.7. DESAPARICIÓN DEL MANUAL DE CALIDAD Tras echar un primer vistazo a la norma ISO 9001:2015, muchos se han empezado a mentalizar para deshacerse de su otrora imprescindible manual de calidad, aunque quizás de forma demasiado apresurada. Como ocurre en el caso del representante de la dirección, el manual de calidad deja de aparecer en la nueva edición de la norma; de hecho, como se ha comentado anteriormente, la norma habla únicamente de información documentada… entendiendo como tales los procedimientos, instrucciones y registros de la calidad. Ni siquiera en la descripción del significado de la información documentada aparece mencionado el manual de calidad. Curiosamente, la norma ISO 9000:2015 de Fundamentos y vocabulario SÍ incluye una definición para el manual de calidad, 120
lo que por lo menos nos advierte que como concepto, no lo hemos desterrado para siempre.
Definición de Manual de Calidad según ISO 9000:2015
Muchas organizaciones —sobre todo aquellas que ya disponen de uno— se están preguntando ¿manual sí o manual no? Y en caso afirmativo ¿por qué y para qué? Para contestar a esas preguntas, debemos tener en cuenta que los documentos del sistema de gestión de calidad deben aportar valor a la organización. • ¿Su manual de calidad le aporta valor? Consérvelo. Que la norma no lo exija no quiere decir que no pueda tener uno si lo considera necesario para el funcionamiento eficaz de su sistema. • ¿Su manual de calidad hace tiempo que es un documento de apenas uso real? Elimínelo del sistema…
… ahora bien, recuerde que deberá mantener como información documentada algunos de sus contenidos, como el alcance y la justificación de aquellos puntos que la organización decida no son de aplicación. 121
122
ANEXO I. MATRIZ DE CORRELACIÓN ENTRE ISO 9001:2008 E ISO 9001:2015 A continuación se muestra, en forma de tabla, la relación existente entre las versiones 2008 y 2015 de la norma ISO 9001. Es una forma sencilla de ubicar en qué lugar de la norma se encuentran las distintas cláusulas que la componen y qué relación tienen con las cláusulas de la anterior revisión. ISO 9001:2015 a ISO 9001:2008 ISO 9001:2015
ISO 9001:2008
1 Objeto y campo de aplicación
1 Objeto y campo de aplicación 1.1 Generalidades
4 Contexto de la organización
4 Sistema de gestión de la calidad
4.1 Comprensión de la organización y su contexto
4 Sistema de gestión de la calidad 5.6 Revisión por la dirección
123
4.2 Comprensión de las necesidades y expectativas de las partes interesadas
4 Sistema de gestión de la calidad 5.6 Revisión por la dirección
4.3 Determinación del alcance del sistema de gestión de calidad
1.2 Aplicación 4.2.2 Manual de calidad
4.4 Sistema de gestión de calidad y sus 4 Sistema de gestión de la procesos calidad 4.1 Requisitos generales 5 Liderazgo
5 Responsabilidad de la dirección
5.1 Liderazgo y compromiso
5.1 Compromiso de la dirección
5.1.1 Generalidades
5.1 Compromiso de la dirección
5.1.2 Enfoque al cliente
5.2 Enfoque al cliente
5.2 Política
5.3 Política de la calidad
5.2.1 Establecimiento de la política de calidad
5.3 Política de la calidad
5.2.2 Comunicación de la política de calidad
5.3 Política de la calidad
5 Liderazgo
5 Responsabilidad de la dirección
5.3 Roles, responsabilidades y autoridades en la organización
5.5.1 Responsabilidad y autoridad 5.5.2 Representante de la dirección 5.4.2 Planificación del sistema de gestión de la calidad
6 Planificación
5.4.2 Planificación del sistema de gestión de la calidad
6.1 Acciones para abordar riesgos y oportunidades
5.4.2 Planificación del sistema de gestión de la calidad 8.5.3 Acciones preventivas
6.2 Objetivos de la calidad y planificación para lograrlos
5.4.1 Objetivos de la calidad
6.3 Planificación de los cambios
5.4.2 Planificación del sistema de gestión de la calidad
7 Apoyo
6 Gestión de los recursos
7.1 Recursos
6 Gestión de los recursos
124
7.1.1 Generalidades
6.1 Provisión de recursos
7.1.2 Personas
6.1 Provisión de recursos
7.1.3 Infraestructura
6.3 Infraestructura
7.1.4 Ambiente para la operación de los 6.4 Ambiente de trabajo procesos 7.1.5 Recursos de seguimiento y medición
7.6 Control de dispositivos de seguimiento y medición
7.1.6 Conocimiento de la organización
NO HAY EQUIVALENCIA
7.2 Competencia
6.2.1 Generalidades 6.2.2 Competencia, formación y toma de conciencia
7.3 Toma de conciencia
6.2.2 Competencia, formación y toma de conciencia
7.4 Comunicación
5.5.3 Comunicación interna
7.5 Información documentada
4.2 Requisitos de la documentación
7.5.1 Generalidades
4.2.1 Generalidades
7.5.2 Creación y actualización
4.2.3 Control de los documentos 4.2.4 Control de los registros
7.5.3 Control de la información documentada
4.2.3 Control de los documentos 4.2.4 Control de los registros
8 Operación
7 Realización del producto
8.1 Planificación y control operacional
7.1 Planificación de la realización del producto
8.2 Requisitos para los productos y servicios
7.2 Procesos relacionados con el cliente
8.2.1 Comunicación con el cliente
7.2.3 Comunicación con el cliente
8.2.2 Determinación de los requisitos para los productos y los servicios
7.2.1 Determinación de los requisitos relacionados con el producto
8.2.3 Revisión de los requisitos para los productos y los servicios
7.2.2 Revisión de los requisitos relacionados con el producto
8.2.4 Cambios en los requisitos para los productos y los servicios
7.2.2 Revisión de los requisitos relacionados con el producto
8.3 Diseño y desarrollo de los productos y servicios
7.3 Diseño y desarrollo
125
8.3.1 Generalidades
7.3.1 Planificación del diseño y desarrollo
8.3.2 Planificación del diseño y desarrollo
7.3.1 Planificación del diseño y desarrollo
8.3.3 Entradas para el diseño y desarrollo
7.3.2 Entradas para el diseño y desarrollo
8.3.4 Controles del diseño y desarrollo
7.3.4 Revisión del diseño y desarrollo 7.3.5 Verificación del diseño y desarrollo 7.3.6 Validación del diseño y desarrollo
8.3.5 Salidas del diseño y desarrollo
7.3.3 Salidas del diseño y desarrollo
8.3.6 Cambios del diseño y desarrollo
7.3.7 Control de los cambios del diseño y desarrollo
8.4 Control de los procesos, productos 7.4.1 Proceso de compras y servicios suministrados externamente 8.4.1 Generalidades
4.1 Requisitos generales 7.4.1 Proceso de compras
8.4.2 Tipo y alcance del control
7.4.1 Proceso de compras 7.4.3 Verificación de los productos comprados
8.4.3 Información para los proveedores 7.4.2 Información de las compras externos 7.4.3 Verificación de los productos comprados 8.5 Producción y provisión del servicio
7.5 Producción y prestación del servicio
8.5.1 Control de la producción y de la provisión del servicio
7.5.1 Control de la producción y la prestación del servicio 7.5.2 Validación de los procesos de producción y de la prestación del servicio
8.5.2 Identificación y trazabilidad
7.5.3 Identificación y trazabilidad
8.5.3 Propiedad perteneciente a los clientes o a los proveedores externos
7.5.4 Bienes propiedad del cliente
8.5.4 Preservación
7.5.5 Preservación del producto
8.5.5 Actividades posteriores a la entrega
7.5.1 Control de la producción y la prestación del servicio
126
8.5.6 Control de los cambios
7.3.7 Control de los cambios del diseño y desarrollo
8.6 Liberación de los productos y los servicios
7.4.3 Verificación de los productos comprados 8.2.4 Seguimiento y medición del producto
8.7 Control de las salidas no conformes 8.3 Control del producto no conforme 9 Evaluación del desempeño
8 Medición, análisis y mejora
9.1 Seguimiento, medición, análisis y evaluación
8 Medición, análisis y mejora
9.1.1 Generalidades
8.1 Generalidades 8.2.3 Seguimiento y medición de procesos
9.1.2 Satisfacción del cliente
8.2.1 Satisfacción del cliente
9.1.3 Análisis y evaluación
8.4 Análisis de datos
9.2 Auditoría interna
8.2.2 Auditoría interna
9.3 Revisión por la dirección
5.6 Revisión por la dirección
9.3.1 Generalidades
5.6.1 Generalidades
9.3.2 Entradas para la revisión por la dirección
5.6.2 Información de entrada para la revisión
9.3.3 Salidas para la revisión por la dirección
5.6.3 Resultados de la revisión
10 Mejora
8.5 Mejora
10.1 Generalidades
8.5.1 Mejora continua
10.2 No conformidad y acción correctiva
8.3 Control del producto no conforme 8.5.2 Acción correctiva
10.3 Mejora continua
8.5.1 Mejora continua 8.5.3 Acción preventiva
127
ANEXO II. LISTA DE REFERENCIAS A LA INFORMACIÓN DOCUMENTADA EN ISO 9001:2015 A continuación se muestran todas las referencias a la información documentada que se encuentran en ISO 9001:2015. Recordemos que la referencia “mantener documentada” se refiere a documentos soporte manuales, procedimientos y registros, mientras que “conservar información documentada” hace referencia
información tales como la expresión a registros.
NOTA: NO se incluyen las referencias correspondientes a los controles que se deben establecer que se describen en el apartado 7.5; únicamente los correspondientes a generalidades.
128
Apartado
Requisito
4.3 Determinación del alcance del sistema de gestión de la calidad
El alcance del sistema de gestión de la calidad de la organización debe estar disponible y mantenerse como información documentada.
4.4. Sistema de gestión de la calidad y sus procesos (subapartado 4.4.2)
En la medida en que sea necesario, la organización debe: a) Mantener información documentada para apoyar la operación de sus procesos. b) Conservar la información documentada para tener la confianza de que los procesos se realizan según lo planificado.
5.2.2 La política de la calidad debe: Comunicación de a) Estar disponible y mantenerse como información la política de la documentada. calidad 6.2 Objetivos de La organización debe mantener información la calidad y documentada sobre los objetivos de la calidad. planificación para lograrlos (sub-apartado 6.2.1) 7.1.5 Recursos de seguimiento y medición (subapartado 7.1.5.1 Generalidades)
La organización debe conservar la información documentada apropiada como evidencia de que los recursos de seguimiento y medición son idóneos para su propósito.
7.1.5 Recursos […] cuando no existan tales patrones debe conservarse de seguimiento como información documentada la base utilizada y medición (sub- para la calibración o verificación. apartado 7.1.5.2 Trazabilidad de las mediciones) 7.2 Competencia La organización debe […]: d) conservar la información documentada apropiada como evidencia de la competencia. 7.5 Información documentada
El sistema de gestión de la calidad de la organización debe incluir:
129
(7.5.1 Generalidades)
a) La información documentada requerida por esta norma internacional. b) La información documentada que la organización determina como necesaria para la eficacia del sistema de gestión de la calidad.
8.1 Planificación La organización debe planificar, implementar y controlar y control los procesos necesarios para cumplir los requisitos para la operacional provisión de productos y servicios […] mediante […]: e) La determinación, el mantenimiento, y la conservación de la información documentada en la extensión necesaria para: 1. Tener confianza en que los procesos se han llevado a cabo según lo planificado. 2. Demostrar la conformidad de los productos y los servicios con sus requisitos. 8.2.3 Revisión de los requisitos para los productos y servicios (subapartado 8.2.3.2)
La organización debe conservar la información documentada, cuando sea aplicable: a) Sobre los resultados de la revisión.
8.2.4 Cambios en los requisitos de los productos y los servicios
La organización debe asegurarse de que, cuando se cambien los requisitos para los productos y los servicios, la información documentada pertinente sea modificada, y de que las personas pertinentes sean conscientes de los requisitos modificados.
b) Sobre cualquier requisito nuevo para los productos y los servicios.
8.3.2 Al determinar las etapas y controles para el diseño y Planificación del desarrollo, la organización debe considerar […]: j) la diseño y información documentada necesaria para demostrar desarrollo que se han cumplido los requisitos del diseño y desarrollo. 8.3.3 Entradas para el diseño y desarrollo
La organización debe conservar la información documentada sobre las entradas del diseño y desarrollo.
8.3.4 Controles del diseño y desarrollo
La organización debe aplicar controles al proceso de diseño y desarrollo para asegurarse de que […]: f) se conserva la información documentada de estas actividades.
8.3.5 Salidas del La organización debe conservar información
130
diseño y desarrollo
documentada sobre las salidas del diseño y desarrollo.
8.3.6 Cambios del diseño y desarrollo
La organización debe conservar la información documentada sobre: a) Los cambios del diseño y desarrollo. b) Los resultados de las revisiones. c) La autorización de los cambios. d) Las acciones tomadas para prevenir los impactos adversos.
8.4 Control de los procesos, productos y servicios suministrados externamente (sub-apartado 8.4.1 Generalidades)
La organización debe conservar la información documentada de estas actividades y de cualquier acción necesaria que surja de las evaluaciones.
8.5.1 Control de la producción y de la provisión del servicio
La organización debe implementar la producción y de la provisión del servicio bajo condiciones controladas. Las condiciones controladas deben incluir, cuando sea aplicable […]: a) La disponibilidad de información documentada que defina: 1. Las características de los productos a producir, los servicios a prestar o las actividades a desempeñar. 2. Los resultados a alcanzar.
8.5.2 Identificación y trazabilidad
La organización debe controlar la identificación única de las salidas cuando la trazabilidad sea un requisito, y debe conservar la información documentada necesaria para permitir la trazabilidad.
8.5.3 Propiedad perteneciente a los clientes o proveedores externos
Cuando la propiedad de un cliente o de un proveedor externo se pierda, deteriore o de algún modo se considere inadecuada para su uso, la organización debe informar de esto al cliente o proveedor externo y conservar la información documentada sobre lo ocurrido.
8.5.6 Control de los cambios
La organización debe conservar información documentada que describa los resultados de la revisión de los cambios, las personas que autorizan el cambio y de cualquier acción necesaria que surja de la revisión.
131
8.6 Liberación La organización debe conservar la información de los productos documentada sobre la liberación de los productos y y servicios servicios. La información documentada debe incluir: a) Evidencia de la conformidad con los criterios de aceptación. b) Trazabilidad a las personas que autorizan la liberación. 8.7 Control de La organización debe conservar la información las salidas no documentada que: a) Describa la no conformidad. conformes (subapartado 8.7.2) b) Describa las acciones tomadas. c) Describa todas las concesiones obtenidas. d) Identifique la autoridad que decide la acción con respecto a la no conformidad. 9.1 Seguimiento, La organización debe conservar la información medición, documentada apropiada como evidencia de los análisis y resultados. evaluación (subapartado 9.1.1 Generalidades) 9.2 Auditorías internas (subapartado 9.2.2)
La organización debe […]: f) Conservar información documentada como evidencia de la implementación del programa de auditoría y de los resultados de las auditorías.
9.3.3 Salidas de La organización debe conservar la información la revisión por la documentada como evidencia de los resultados de las dirección revisiones por la dirección. 10.2 No conformidad y acción correctiva (sub-apartado 10.2.2)
La organización debe conservar información documentada como evidencia de: a) La naturaleza de las no conformidades, y cualquier acción tomada posteriormente. b) Los resultados de cualquier acción correctiva.
132
REFERENCIAS ISO 9001:2015 Sistemas de gestión de la calidad. Requisitos (Quality management systems. Requirements). International Organization for Standardization (ISO). ISO 9000:2015 Sistemas de gestión de la calidad. Fundamentos y vocabulario. (Quality management systems. Fundamentals and vocabulary). International Organization for Standardization (ISO). Informe ISO Survey 2014. International Organization for Standardization (ISO). “ISO/IEC Directives, Part 1 Consolidated ISO Supplement. Procedures specific to ISO”. International Organization for Standardization (ISO). “Transition planning guidance for ISO 9001:2015”. International Accreditation Forum (IAF). “Risk based thinking in ISO 9001:2015”. International Organization for Standardization (ISO). “A practical guide to risk management” Thomas S. Coleman. “10 Good Things for SMEs”. International Organization for Standardization (ISO). “The financial impact of ISO 9000 Certification in the United States: An Empirical Analysis”. Corbett, MontesSancho, Kirsch. “Guía práctica para la gestión del riesgo”. Thomas S. Coleman “Historia de la Calidad”. Cruz Ramírez. “Documento Técnico: Introducción al Anexo SL” BSI Group. NTP 576: Integración de sistemas de gestión: prevención de riesgos laborales, calidad y medio ambiente. Instituto Nacional de Seguridad e Higiene en el Trabajo (INSHT). 133
134
135
136