KPI y KRI: ¿Cuál es la Diferencia?

KPI y KRI: ¿Cuál es la Diferencia?

La nueva ISO 9001:2015 requiere que se evalúe el desempeño del sistema de gestión de la calidad. Para eso hay que decidir a qué aspectos de los procesos hacer seguimiento y qué características medir, para luego analizar y evaluar los datos y la información obtenida para tomar decisiones. Esa información obtenida con frecuencia se comunica a la Dirección en forma de Indicadores. Muchas empresas están convirtiendo métricas en Indicadores Clave de Desempeño y en Indicadores Clave de Riesgo: ¿Cuál es la diferencia?

Una métrica se refiere a algo que podemos medir. Por ejemplo, la temperatura del horno, la dureza de una pieza, el número de piezas producidas, el número de piezas devueltas, son todas métricas.

Cuando las métricas reflejan el logro de un resultado deseado, se convierten en Indicadores Clave de Desempeño (KPI en inglés). Un KPI expresa el logro de un nivel deseado de resultados en un área relevante para la actividad de la organización. Por ejemplo, “Número de piezas defectuosas” puede ser solo una métrica, pero para una organización que se preocupa por reducir el desperdicio en su proceso de producción, se convierte en un KPI importante para el Departamento de Producción.

Cuando las métricas proporcionan una advertencia temprana con respecto a una mayor exposición al riesgo en ciertas áreas de operaciones, se convierten en Indicadores Clave de Riesgo (KRI en inglés). Por ejemplo, “% de clientes utilizando garantías”, puede ser un KRI, ya que indica qué tan grande es el riesgo de perder clientes. Un gran porcentaje de clientes insatisfechos puede afectar el flujo de pedidos a la organización y esto es un KRI importante para el Departamento Comercial.

 En conclusión, todo lo que medimos es una métrica. Si refleja el desempeño, se convierte en un KPI. Si refleja un riesgo, se convierte en un KRI.

Con estas herramientas: métricas, KPI y KRI se pueden hacer análisis para explorar tendencias, patrones e interdependencias para respaldar una mejor toma de decisiones y, finalmente, el logro de los resultados deseados. Esta es una de las maneras de implementar la cláusula de ‘Evaluación‘, dentro del Enfoque de Procesos y el Pensamiento Basado en el Riesgo de que habla la Norma.

Riesgos y Oportunidades: ¿De qué estamos hablando?

Riesgos y Oportunidades: ¿De qué estamos hablando?

Cuando algo sale mal, generalmente se debe a que no se ha anticipado el problema y, por ese motivo, nadie sabe qué hacer al respecto. Si añadimos la evaluación del riesgo en la planificación de cada proceso relevante del sistema de gestión, aseguraremos que se tomen medidas oportunas para que el problema no ocurra y, si ocurre, tendremos ya previsto qué hacer al respecto, quién debe tomar las acciones y los recursos necesarios. Muchos no se molestan en identificar riesgos aduciendo falta de tiempo, sin embargo, dedicar una hora a identificar riesgos podría resultar en un ahorro de varios días tratando de solucionar un problema imprevisto. ¡El ahorro en tiempo y costos puede ser grande!

La nueva ISO 9001:2015 ahora requiere que se determinen los riesgos y oportunidades al planificar el Sistema de Gestión de la Calidad de la empresa. ¿Qué quiere la Norma que planifiquemos?:

  1. Acciones para abordar los riesgos y oportunidades detectados,
  2. La manera como vamos a integrar e implementar dichas acciones en los procesos del SGC, y
  3. Cómo vamos a evaluar la eficacia de dichas acciones.

Esos requisitos aplican tanto a un SGC que se planifica por primera vez como al que lleva unos cuantos años funcionando. Pero en cualquiera de los casos tendremos que contestar al menos estas preguntas:

  1. ¿Quién lo tiene que hacer?,
  2. ¿Dónde hay que hacerlo?,
  3. ¿Cuándo hay que hacerlo? y
  4. ¿Cómo hay que hacerlo?

¿Quién lo tiene que hacer?
En una gran proporción de SGC ya implantados, seguramente esta responsabilidad recaerá sobre – ¿quién más? – el Responsable de Calidad. Pero ¿quién puede saber mejor cuáles podrían ser los riesgos y oportunidades en un proceso cualquiera? ¡El Responsable de ese proceso! El Responsable de Calidad puede apoyar al Responsable de un Proceso en cuanto a la forma, la metodología, la documentación, pero la responsabilidad por la detección de los riesgos y de las acciones para abordarlos debe necesariamente ser del ‘propietario’ del proceso.

¿Dónde hay que hacerlo?
Aunque en cualquier proceso se pueden detectar riesgos y oportunidades, obviamente conviene considerar primero aquellos procesos que tengan un impacto potencial importante sobre la ‘conformidad de los productos y servicios’. Por ejemplo, los procesos orientados al cliente como Marketing, Ventas, Diseño, Fabricación y Entrega. Pero también podrían tener un impacto importante procesos de apoyo como Compras y Mantenimiento y procesos de gestión y control como Auditoría Interna y Revisión por la Dirección.

¿Cuándo hay que hacerlo?
La detección de riesgos y oportunidades debería hacerse al implantar un SGC inicialmente. Para un SGC existente, debería hacerse de inmediato, no solo para cumplir con la nueva Norma sino principalmente para no seguir corriendo riesgos no detectados, potencialmente dañinos tanto para el cliente como para la propia empresa.

¿Cómo hay que hacerlo?
El cómo puede variar muchísimo entre una empresa y otra y más alto es el riesgo u oportunidad, más se tiene que implicar la Alta Dirección y no solo el responsable del proceso. La Norma no obliga a ningún método específico y se limita a recomendar que las acciones sean ‘proporcionales al impacto potencial en la conformidad de los productos y servicios’. En dos Notas la Norma sugiere una serie de opciones para abordar tanto riesgos como oportunidades, pero es la dirección de la empresa que debe establecer la manera más acorde a sus necesidades y forma de operar.

Sin tomar en cuenta la diferencia en complejidad y recursos, las acciones para abordar riesgos podrían reducirse a cuatro:

  • Evitar – Eliminar la causa del riesgo.
  • Mitigar – Reducir la probabilidad o impacto del riesgo.
  • Aceptar – Establecer planes de contingencia para el riesgo.
  • Transferir – Compartir o hacer que otros asuman el riesgo (p.e., Seguro)

En cuanto a las oportunidades, la Norma apunta hacía la realización de cambios (que siempre implican algún tipo de riesgo) para mejorar o renovar productos o servicios, adoptar nuevos métodos o tecnologías, asociarse o buscar nuevos mercados, etc.

Sin importar si se trata de riesgos u oportunidades, la Dirección puede empezar por hacerse unas preguntas:

 

PREGUNTAS

CLÁUSULAS DE LA NORMA

1 ¿Qué estamos tratando de lograr? 0.1 c), 4.1, 4.2, 6.1.1, 6.2
2 ¿Qué podría pasar que afectaría nuestros objetivos/metas/resultados? y ¿de qué manera? 6.1.1, 5.1.2 b)
3 ¿Cuáles serían los efectos más importantes? 6.1.2
4 ¿Qué vamos a hacer al respecto? y ¿Cómo nos aseguramos de su eficacia? 6.1.1 a) b), 4.4.1 f), 6.1.2 b)
5 ¿Qué funcionó de las acciones tomadas y qué no? y ¿por qué? 9.1.3 e)
6 ¿Qué cambiará y qué hemos aprendido? 6.3, 10.2.1 e), 7.1.6

 

En un próximo blog seguiré ahondando sobre este tema.

Gestión del Riesgo y la Acción Preventiva

Gestión del Riesgo y la Acción Preventiva

La acción preventiva no ha muerto. Se ha convertido en una función complementaria de la evaluación y gestión del riesgo.

 

En el mundo de los sistemas de gestión de la calidad (SGC), la naturaleza de la relación entre la gestión del riesgo y las acciones preventivas suele confundirse y malinterpretarse. De hecho, algunos creen que un proceso de evaluación de riesgos completo reemplaza la necesidad de acciones preventivas.

La realidad es que la gestión de riesgos y la acción preventiva son elementos secuenciales y complementarios que son esenciales para el SGC. La eficacia de cualquier acción preventiva depende de la medida en que la acción aborde las causas fundamentales identificadas por la evaluación del riesgo. Por lo tanto, el éxito del proceso de evaluación del riesgo depende de la medida en que se identifiquen las cuestiones de la causa raíz. Cuando se han identificado todos las cuestiones relacionadas con causa raíz, es posible examinar las acciones preventivas propuestas para determinar si todos los elementos de riesgo han sido abordados satisfactoriamente.

Evaluación del riesgo de cambios en un SGC

Todos los elementos descritos en un SGC compatible con la ISO 9001 pueden beneficiarse de una evaluación de riesgos. Examinemos algunos de estos elementos desde la perspectiva de la gestión de riesgos.

  • Documentación. Una evaluación del riesgo de la documentación del proceso debe ser tangible ya que, por definición, los documentos relacionados con el proceso describen un proceso de una manera muy específica. La cantidad de detalle requerida depende de una evaluación del riesgo de la formación disponible y de la competencia de los usuarios. Aún más crítico en una evaluación del riesgo de la documentación es una evaluación del riesgo potencial asociado con una interpretación incorrecta de la documentación en sí.
  • Revisión por la dirección. La documentación del proceso de revisión por la dirección debe incluir un comentario sobre los cambios en el SGC. Aunque, en la práctica, los comentarios sobre cambios en el SGC brillian por su ausencia en los registros de revisión por la dirección, pueden ayudar a identificar acciones específicas tomadas por las unidades de negocio o departamentos. Sin embargo, cuando se evalúan los puntos de acción por departamento, la evaluación del riesgo de los cambios que afectan a cualquier cosa, desde el personal hasta las herramientas y el entorno de trabajo, suele ser incompleta. Las acciones emprendidas en apoyo de los esfuerzos de mejora continua deben incorporar una evaluación del riesgo para comprender su efecto potencial sobre los procesos relacionados.
  • Competencia y formación. La participación continua de los empleados es esencial en cualquier iniciativa del SGC. A medida que se implementan procesos y acciones de calidad, la ausencia de participación de los empleados puede conducir a acciones no conformes que pueden afectar directa y negativamente la calidad del producto, aspecto de implementación que con frecuencia se pasa por alto. Por lo tanto, las evaluaciones de riesgos deben incluir la posible consecuencia de la no participación de los empleados.
  • Planificación, procesos relacionados con el cliente, diseño, compras y producción. Cualquier organización que considere la implementación de un SGC enfoca en dos procesos clave. En primer lugar, la organización debe identificar las necesidades del cliente (es decir, el usuario final) y, en segundo lugar, la dirección debe autoevaluar la capacidad de la organización para satisfacer esos requisitos. En el primer proceso clave, los riesgos potenciales incluyen errores de comunicación, tales como expectativas no satisfechas basadas en suposiciones tácitas. Por lo tanto, la evaluación de todos los requisitos de insumos (entradas) para un producto propuesto debe incluir aportaciones de todas las partes involucradas. El segundo proceso clave requiere una evaluación objetiva de las capacidades de la organización para el diseño de productos, fabricación y otras actividades. Aquí también, una evaluación del riesgo puede identificar áreas donde las capacidades pueden no estar a la altura de las expectativas del cliente.
  • Medición, análisis y mejora. Estas áreas son los elementos de evaluación del riesgo más importantes en un SGC. Una vez más, la acción preventiva aplicada dentro del SGC suele ser mal interpretada como el proceso de evaluación del riesgo. Las acciones preventivas son en realidad el resultado de una evaluación de riesgos eficaz y el análisis posterior de su efecto real proporciona la evaluación final de la eficacia de las acciones adoptadas. Por lo tanto, cualquier acción de mejora propuesta debe incluir una evaluación de los posibles riesgos asociados con su implementación.

Clasificación de los riesgos identificados

La evaluación del riesgo relacionado con un proceso de SGC se puede clasificar de acuerdo con una serie de métricas, tales como su efecto sobre un proceso relacionado o su efecto sobre un cliente. Sin embargo, considerar una evaluación del riesgo únicamente como una acción preventiva dentro de un SGC limita su utilidad. Una evaluación de riesgos documentada debe incluir información sobre insumos (entradas), controles de procesos y productos, y puede ser útil para calificar los riesgos a lo largo del tiempo. El mantenimiento de registros eficaces puede apoyar los esfuerzos por calificar el efecto de una acción de corrección una vez que se ha implementado.

Eficacia de las acciones resultantes de una evaluación de riesgos

Todo sistema de gestión de la calidad eficaz incluye algún tipo de evaluación del riesgo, ya sea que se haya identificado expresamente como tal o no. Sin embargo, la evaluación de las acciones derivadas de una evaluación del riesgo no siempre es clara. Cuando se ha identificado un riesgo específico, suele conducir a una declaración clara de lo que sucederá si no se toman ciertas medidas. Sin embargo, cuando se implementan acciones preventivas basadas en riesgos posibles pero no probados, los resultados son a menudo difíciles de verificar. Esto se debe a la ausencia de evidencia objetiva de que las acciones tomadas son directamente responsables por prevenir el riesgo.

En otros casos, una acción tomada para reducir o eliminar un riesgo posible puede afectar inadvertidamente un proceso relacionado. A menudo, este efecto potencial no se identifica ni se investiga. Cuando el riesgo potencial no ocurre, el efecto del proceso relacionado no se considera como una causa posible.

Conclusión

El riesgo puede ser un concepto abstracto y difícil de entender, pero puede gestionarse eficazmente a través del SGC una vez que se entienden estos y otros conceptos.

 

Tomado de un artículo de Hermann Ries publicado en Quality Digest el 26/06/2014

Hermann B. Ries es auditor principal de TÜV SÜD America Inc.

Auditando la Gestión del Riesgo

Auditando la Gestión del Riesgo

La gestión del riesgo está bien establecida en muchos aspectos operacionales y financieros de las organizaciones. Del mismo modo, la gestión de la calidad y del medio ambiente desde hace mucho tiempo ha tenido un elemento de gestión de riesgos implícito.

Las últimas revisiones de las normas ISO 9001 e ISO 14001 se basan en la estructura de alto nivel requerida por el Anexo SL de la ISO, que en la cláusula 6 contiene un requisito explícito de “acciones para abordar los riesgos y oportunidades”. Como parte de la transición obligatoria a las normas revisadas con el fin de mantener la certificación, en los próximos dos años las organizaciones tendrán que hacer frente a estos nuevos requisitos.

Aunque no hay escasez de enfoques y herramientas de gestión de riesgos, la ISO 31000:2009 puede proporcionar una base sólida genérica para establecer un proceso de gestión de riesgos (identificación, análisis, evaluación, tratamiento, seguimiento, revisión y mejora continua del riesgo). Aunque no contenga requisitos, ni es una norma  contra la cual certificarse, la ISO 31000:2009 es ya aplicada ampliamente para la continuidad del negocio y seguridad de la información y, sin duda, muchas empresas grandes la convertirán en referencia común para la gestión del riesgo en el contexto de las normas ISO 9001 e ISO 14001. La mediana y pequeña empresa también podría aprovechar los conceptos básicos allí definidos y adaptarlos a las necesidades de ese tipo de empresas.

Para cumplir con los requisitos de la ISO 9001:2015, una organización necesita “planificar e implementar acciones para abordar los riesgos y las oportunidades” afirma la Norma en ‘0.3.3 Pensamiento basado en riesgos’. Aunque la cláusula 6.1.2 especifica que la organización “debe planificar acciones para abordar los riesgos y las oportunidades”, no hay requisitos en cuanto a métodos formales para la gestión del riesgo ni se requiere un proceso documentado de la gestión del riesgo.  Bajo los requisitos de la cláusula 6.1, la organización es responsable de la aplicación del ‘pensamiento basado en riesgos’ y de las acciones que toma para abordar esos riesgos, incluyendo si conserva o no información documentada como evidencia de su cumplimiento.

Y ¿cómo afecta esto al auditor interno o al auditor externo? ¿De qué manera obtendrá evidencia del cumplimiento de los requisitos en la cláusula 6.1? En principio, el auditor externo no tendrá más remedio que usar su sentido común, considerando el contexto de la organización que está auditando pero, al mismo tiempo, deberá ser capaz de reconocer si la manera de abordar los riesgos y oportunidades de la organización es válida y le permite a esta una cobertura óptima de sus problemas y oportunidades potenciales. El responsable de calidad y de medio ambiente, que normalmente es también auditor interno, tiene la gran oportunidad de asesorar a los responsables de los diferentes procesos, acerca de cómo “abordar los riesgos y oportunidades” y acerca de cómo documentar las acciones que toma al respecto.

Será muy interesante ver los resultados. ¿Alguien se atreve a dar sugerencias al respecto?