El concepto de pensamiento basado en el riesgo no es realmente nuevo. Ha estado implícito en las versiones anteriores de las normas de sistemas de gestión. Analizando las no conformidades, la adopción de medidas para evitar su repetición y llevar a cabo acciones preventivas para eliminar las no conformidades potenciales son todos los elementos de un enfoque basado en el riesgo.
Sin embargo, la estructura de alto nivel implantada en la revisión de las normas ISO ahora requiere específicamente a las organizaciones planificar e implementar acciones para abordar los riesgos y oportunidades. Con ello se pretende establecer una base para aumentar la eficacia del sistema de gestión de la organización, el logro de mejores resultados y prevenir efectos negativos.
La cuestión clave para cualquier organización implementar un estándar de sistema de gestión es si ha establecido los riesgos que podría evitar que se garantiza el cumplimiento del objetivo general de esa norma propio sistema de gestión.
Así, por ejemplo, cualquier organización que implementa la norma ISO 9001 tendrá que establecer los riesgos que podrían evitar para que se garantice la conformidad de sus productos y servicios y la mejora de la satisfacción del cliente.
En el caso de la norma ISO 14001, la necesidad sería establecer los riesgos que podrían impedir, desde su responsabilidad, una correcta gestión de sus aspectos de manera que se garantice que:
- se mejora el rendimiento ambiental;
- se cumple con las obligaciones de cumplimiento legal;
- se cumple con los objetivos medioambientales.
Pensamiento «basado en el riesgo» permite a una organización para determinar los factores que podrían hacer que sus procesos y su sistema de gestión que se vuelven ineficaces y así poner en los controles preventivos que aseguren que esto no suceda. Se trata de la consideración de las consecuencias de la entrega de productos o servicios no conformes por una organización al decidir sobre los controles que se deben incorporar en sus procesos y actividades del sistema de gestión.
Oportunidades, por otro lado, pueden surgir como resultado de una situación favorable para lograr un resultado deseado; por ejemplo, una oportunidad para atraer a los clientes, desarrollar nuevos productos y servicios, reducir los residuos o mejorar la productividad. Un efecto positivo derivado de un riesgo puede proporcionar una oportunidad, pero no todos los efectos positivos del resultado de riesgos en oportunidades. Acciones a las oportunidades de direcciones también pueden incluir la consideración de los riesgos asociados.
Hay una referencia específica en la cláusula 6.1 del hecho de que todas las medidas adoptadas para abordar los riesgos y oportunidades que tienen que ser «proporcional» a los efectos potenciales sobre la conformidad de productos y servicios. Esto se debe a las consecuencias de la no conformidad variarán de una organización a otra, dependiendo de la naturaleza del producto o servicio que se presta, o el sector empresarial en cuestión.
Cabe señalar, sin embargo, no hay ningún requisito para los métodos formales para la gestión de riesgos o un proceso de gestión de riesgos documentada. Corresponde a las organizaciones decidir si o no para desarrollar una más amplia metodología de gestión de riesgos que la exigida por la norma, por ejemplo a través de la aplicación de otras directrices o normas.
