ISO
9001:2015; un paso adelante en el control interno.
Carlos Alberto Barrios L
Moore Stephens Madrid
Durante muchos años como
consultor de control interno y riesgo en procesos de negocios, era bastante
frecuente que iniciando el proyecto los administradores de la entidad nos
indicasen que la organización cumplía con la certificación ISO9001.
Para nosotros que estábamos
desarrollando un proyecto de Risk Management no importando si fuese para una
empresa regulada por SOX, BASILEA o simplemente porque por buena práctica la
empresa deseaba mejorar sus procesos e identificar riesgos a estos, era un
elemento si se quiere tranquilizador conocer que la empresa tuviese
implementados y documentados los procesos, las políticas y normas que los
regulaban, por lo menos las de las áreas productivas, e ISO nos apoya en eso.
Sin embargo quedaba algo que ISO no nos proporcionaba la garantía que este tipo de proyectos
requería y era el referido a la identificación de las áreas de riesgo expuestas
en los procesos empresariales; la identificación del probable impacto y
exposición y los mecanismos y actividades de control implantados para minimizar
las probables consecuencias en caso que el evento se produjese.
Esa situación en más de una
oportunidad ocasionó que los procesos ya documentados bajo ISO, tuviesen que
ser modificados porque se identificaban riesgos de impacto en los procesos que
obligaban en algunos de ellos a un rediseño o un cambio de un rol u otra
actividad que de alguna forma tendrían un efecto en la documentación, y
no había discusión, el cambio había que hacerlo e implementarlo con todos los
problemas que esto pudiese ocasionar en el sistema de gestión de calidad SGC
ISO.
Precisamente la nueva versión
del ISO 9001:2015 identifica como el cambio más interesante y relevante es
justamente la identificación de eventos de riesgos que pudiesen impactar en la
calidad del producto o del servicio y por ende en la satisfacción del cliente.
El pensar en riesgos obliga a
pensar en procesos e interacciones con el entorno, mediante la abstracción qué
hay que hacer para poder identificar riesgos factibles, probables y de impacto
que podrían afectar el producto y a los entes relacionados incluyendo clientes,
proveedores, accionistas, reguladores, etc, así como los mecanismos factibles
de control que puedan mitigar el impacto del evento y que estas actividades de
control fuesen eficientes, diligentes y oportunas.
Poco a poco veremos que esa
brecha que antes existía entre proyectos para el mejoramiento de procesos y
identificación de riesgos o RM y los proyectos ISO para la Gestión de
Calidad se va a ir reduciendo hasta el momento qué sin importar el enfoque
metodológico ambas provean una garantía más que razonable que los procesos han
sido adecuadamente evaluados y los riesgos identificados y controlados.
Vemos
cada día como los reguladores incorporan la elaboración de mapas de riesgos en
sus evaluaciones porque si no entendemos donde estamos expuestos, cómo
pretendemos pensar que nuestra operación está cubierta y libre de todo mal.
Si
deseas agregar un comentario estas en la libertad de hacerlo, respetando las
opiniones de los demás y sin exponer a personas o empresas; nadie tiene la
verdad absoluta.
Comentarios
Publicar un comentario