La gestión del riesgo está bien establecida en muchos aspectos operacionales y financieros de las organizaciones. Del mismo modo, la gestión de la calidad y del medio ambiente desde hace mucho tiempo ha tenido un elemento de gestión de riesgos implícito.

Las últimas revisiones de las normas ISO 9001 e ISO 14001 se basan en la estructura de alto nivel requerida por el Anexo SL de la ISO, que en la cláusula 6 contiene un requisito explícito de “acciones para abordar los riesgos y oportunidades”. Como parte de la transición obligatoria a las normas revisadas con el fin de mantener la certificación, en los próximos dos años las organizaciones tendrán que hacer frente a estos nuevos requisitos.

Aunque no hay escasez de enfoques y herramientas de gestión de riesgos, la ISO 31000:2009 puede proporcionar una base sólida genérica para establecer un proceso de gestión de riesgos (identificación, análisis, evaluación, tratamiento, seguimiento, revisión y mejora continua del riesgo). Aunque no contenga requisitos, ni es una norma  contra la cual certificarse, la ISO 31000:2009 es ya aplicada ampliamente para la continuidad del negocio y seguridad de la información y, sin duda, muchas empresas grandes la convertirán en referencia común para la gestión del riesgo en el contexto de las normas ISO 9001 e ISO 14001. La mediana y pequeña empresa también podría aprovechar los conceptos básicos allí definidos y adaptarlos a las necesidades de ese tipo de empresas.

Para cumplir con los requisitos de la ISO 9001:2015, una organización necesita “planificar e implementar acciones para abordar los riesgos y las oportunidades” afirma la Norma en ‘0.3.3 Pensamiento basado en riesgos’. Aunque la cláusula 6.1.2 especifica que la organización “debe planificar acciones para abordar los riesgos y las oportunidades”, no hay requisitos en cuanto a métodos formales para la gestión del riesgo ni se requiere un proceso documentado de la gestión del riesgo.  Bajo los requisitos de la cláusula 6.1, la organización es responsable de la aplicación del ‘pensamiento basado en riesgos’ y de las acciones que toma para abordar esos riesgos, incluyendo si conserva o no información documentada como evidencia de su cumplimiento.

Y ¿cómo afecta esto al auditor interno o al auditor externo? ¿De qué manera obtendrá evidencia del cumplimiento de los requisitos en la cláusula 6.1? En principio, el auditor externo no tendrá más remedio que usar su sentido común, considerando el contexto de la organización que está auditando pero, al mismo tiempo, deberá ser capaz de reconocer si la manera de abordar los riesgos y oportunidades de la organización es válida y le permite a esta una cobertura óptima de sus problemas y oportunidades potenciales. El responsable de calidad y de medio ambiente, que normalmente es también auditor interno, tiene la gran oportunidad de asesorar a los responsables de los diferentes procesos, acerca de cómo “abordar los riesgos y oportunidades” y acerca de cómo documentar las acciones que toma al respecto.

Será muy interesante ver los resultados. ¿Alguien se atreve a dar sugerencias al respecto?