SGC-Lab [email protected] San Juan de Pasto - Colombia Derechos reservados 2020 Con la entrada en vigencia de la nueva versión de la norma ISO/IEC 17025:2017 se ha puesto de moda la gestión de riesgos. ¿Ya sabes cómo implementar el sistema de gestión de riesgos en tu laboratorio? En esta guía te voy a explicar todo lo que necesitas saber acerca de la gestión de riesgos en tu laboratorio. ¿Qué aprenderás? A identificar los riesgos. A identificar las causas. A identificar las consecuencias. A identificar los controles. A cuantificar el impacto y la probabilidad. A determinar el nivel de riesgo. Al final de la guía vas a ver de forma práctica cómo se gestiona la matriz de riesgos empleando una hoja de cálculo de Excel. Para este ejercicio verás un ejemplo real de un laboratorio, así que quédate hasta el final. El objetivo de este documento es establecer los lineamientos para la identificación y gestión de los riesgos, con el fin de asegurar el cumplimiento de los requisitos de la norma ISO/IEC 17025:2017, es decir, la gestión de los riesgos para tu laboratorio. SGC-Lab [email protected] San Juan de Pasto - Colombia Para lograrlo, debes seguir los siguientes pasos: Identificar los riesgos en los procesos del Sistema de Gestión de Calidad. Establecer los lineamientos para la evaluación de los riesgos identificados. Implementar los controles para mitigar o minimizar los impactos negativos de los riesgos. Generar una cultura de seguimiento y control de los riesgos en tu laboratorio. La norma ISO 31000 estable algunos conceptos que vale la pena tratar, por ejemplo, ¿sabes qué es un riesgo? Dicha norma lo define como el efecto de la incertidumbre sobre los objetivos, y también define el concepto de efecto, que es la desviación de lo esperado. En palabras más simples, el riesgo es la probabilidad de que le ocurran cosas malas o cosas buenas a tu laboratorio, digo cosas buenas porque el riesgo también puede ser positivo, en este caso, se le llama oportunidad. Ahora bien, ¿Cómo se expresa el riesgo? El riesgo lo puedes expresar mediante una combinación de consecuencias y probabilidades. Más adelante voy a profundizar en estos dos conceptos. La gestión de riesgos, así como la gestión de la calidad, también tiene un ciclo. Este ciclo está dividido en 4 partes, una fase que define el contexto del laboratorio, una fase para el levantamiento de la matriz de riesgos, una fase para el seguimiento y una fase para la evaluación del sistema de gestión. SGC-Lab [email protected] San Juan de Pasto - Colombia De este ciclo lo que nos interesa, a ti y a mí, es la parte de la construcción de la matriz de riesgos. Esta matriz se construye en tres etapas que son: la identificación de los riesgos, descripción y calificación de los controles y el análisis y valoración de los riesgos con los controles. Empecemos con la fase uno del ciclo de Gestión de Riesgos La primera fase es el contexto del laboratorio. En esta etapa debes ser capaz de analizar y describir los factores internos y externos que afectan a tu laboratorio. Dentro de los factores externos puedes describir cómo afecta al laboratorio las políticas del gobierno, el entorno económico de tu región, la tecnología, las leyes internas o externas, el medio ambiente, etc. SGC-Lab [email protected] San Juan de Pasto - Colombia Detalla todo lo que más puedas, pero ten presente que debes describir solo aquellos factores que tienen un impacto, ya sea positivo o negativo, en tu laboratorio. Dentro de los factores internos puedes detallar aquellas situaciones internas que afectan al laboratorio, como las políticas internas, la infraestructura, los equipos, el personal, los métodos, etc. Fase dos. La matriz de riesgos Una vez que tengas muy claro el contexto de tu laboratorio, es el momento de levantar o construir la matriz de riesgos. Como dije arriba, este proceso lo podemos dividir en tres etapas. La primera es la identificación de los riesgos, La segunda es la descripción y calificación de los controles para mitigar los riesgos Y la tercera es el análisis y valoración de los riesgos con esos controles. La identificación del riesgo En esta parte debes reunirte con tu equipo de trabajo y mediante alguna estrategia, por ejemplo una lluvia de ideas, identificar los riesgos y las oportunidades que afectan a tu laboratorio. Existen varios tipos de riesgos, por ejemplo los estratégicos, estos se asocian con la forma de administrar el laboratorio, aquí entra en juego la misión, la visión, la política y los objetivos de calidad. Piensa en estos riesgos cuando se vea amenazada la estrategia del laboratorio. Otro tipo de riesgos son los que afectan la imagen del laboratorio, es decir, aquellos que afectan la confianza y la percepción de las partes interesadas hacia el laboratorio. SGC-Lab [email protected] San Juan de Pasto - Colombia Existen también los riesgos operativos, estos afectan los procesos internos, por ejemplo la recepción de muestras, los ensayos o las calibraciones, la forma de calibrar los equipos, las compras, etc. También están los riesgos financieros, estos afectan directamente el presupuesto del laboratorio, la ejecución de los pagos, manejo de excedentes, es decir, todo lo que tenga que ver con dinero. Le siguen los riesgos de cumplimiento, estos generalmente se asocian con la capacidad del laboratorio para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad. Y por último están los riesgos tecnológicos, estos están relacionados con la capacidad tecnológica del laboratorio para satisfacer sus necesidades actuales y futuras. Tipos de riesgo: Estratégicos, de Imagen, Operativos, Financieros, de Cumplimiento y Tecnológicos. Dentro del proceso de identificación de los riesgos tienes que determinar las causas y los efectos que estos tienen en el laboratorio. Aquí es donde empiezas a alimentar la matriz de riesgos en Excel, puedes usar cualquier otro medio, solo que en Excel se facilitan mucho las cosas. SGC-Lab [email protected] San Juan de Pasto - Colombia Las causas ¿Qué puede generar que se materialice el riesgo? Para que el riesgo se materialice pueden existir muchos ingredientes, por ejemplo: las personas, el entorno, los materiales, los equipos, las políticas internas o externas, etc. Debes identificar con mucho detalle lo que causa el riesgo, porque al final lo que harás es tomar medidas para atacar esas causas. Si el riesgo llegare a materializarse tendría unas consecuencias o impactos en el laboratorio, por ejemplo: podrían haber lesiones o muertes, pérdidas económicas, sanciones, daños ambientales, interrupción de los servicios, etc. Si el riesgo es positivo, es decir, es una oportunidad, entonces debes reconocer cual sería el impacto si la oportunidad llegare a materializarse, en este caso, podría mejorar la salud de los trabajadores, la infraestructura podría mejorar, habrían reconocimientos, se mejorará el medio ambiente, los servicios no tendrán interrupciones, etc. Ahora que ya conoces las causas y las consecuencias de los riesgos en tu laboratorio, es el momento de identificar los controles existentes para frenar esos riesgos o potenciar las oportunidades. Con seguridad que muchos de esos riesgos identificados en tu laboratorio ya cuentan con los controles necesarios para reducir la probabilidad o el impacto. Como ves, en el formato de la matriz de riesgos debes describir el control e identificar los registros de ese control, es decir, debe estar disponible uno o varios formatos donde se registre información para ese control. Luego debes decidir si ese control disminuye la probabilidad o el impacto, o ambos. Luego le das una calificación cualitativa y una cuantitativa. SGC-Lab [email protected] San Juan de Pasto - Colombia Resumiendo el tema de los controles, primero debes hacer una descripción del control, este control puede ser una política, un dispositivo, una práctica, un equipo, etc. Luego determinas el efecto de ese control, si disminuye la probabilidad, el impacto o ambos, y por ultimo evalúas la eficacia de ese control, es decir, tienes que darle una calificación cualitativa y una cuantitativa. Esta es la escala cuantitativa para evaluar la eficacia del control. SGC-Lab [email protected] San Juan de Pasto - Colombia Si para un riesgo en particular tienes más de dos controles, debes sumar las calificaciones y sacar un promedio. Si este promedio te da, por ejemplo 2.5, debes aproximar a 3. Una vez tengas una lista de tus riesgos y cada uno de ellos con sus respectivos controles, es momento de evaluar el nivel del riesgo. Este nivel simplemente es la multiplicación del impacto por la probabilidad. Recuerda que el IMPACTO es la consecuencia que puede ocasionar al laboratorio la materialización del riesgo, y la PROBABILIDAD es el grado en el cual es probable que ocurra el riesgo. La probabilidad y el impacto, al igual que los controles, también tienen una valoración cualitativa y una valoración cuantitativa que la debes poner en tu matriz de riesgos. La escala para la probabilidad va del 1 al 5, veamos cada una. SGC-Lab [email protected] San Juan de Pasto - Colombia Para la escala del impacto tenemos: Hagamos un pequeño resumen de lo que llevamos hasta el momento. Ya tienes identificado un riesgo, y has identificado unos controles que tienen una calificación. Luego evaluaste la probabilidad y el impacto de ese riesgo a través de unas escalas cualitativas y cuantitativas. Esta evaluación la debes hacer teniendo en cuenta los controles existentes. Ahora, dentro de la matriz de riesgos debes evaluar el nivel de riesgo, y para ello solo multiplica el valor de la probabilidad por el valor del impacto, el resultado será el nivel de riesgo. Nivel de Riesgo = Probabilidad x Impacto Con los valores resultantes obtendrás una clasificación para los riesgos tal como se muestra en la siguiente tabla. SGC-Lab [email protected] San Juan de Pasto - Colombia Aquí tienes cuatro zonas de riesgo, la verde para la zona baja, la amarilla para la zona media, la naranja para la zona alta y la roja para la zona de riesgo extrema. Estas zonas son importantes porque te permiten saber cómo actuar frente a los riesgos, y de esta manera tenemos: Si el riesgo se ubica en la zona verde debes asumir el riesgo, es decir, puedes hacerte cargo de ese riesgo sin ningún problema. Si el riesgo se ubica en la zona amarilla, tienes la opción de asumir o de reducir el riesgo. Si el riesgo se ubica en la zona naranja, tienes la opción de reducir el riesgo, evitarlo o transferirlo. Si el riesgo se ubica en la zona roja, tienes la opción de evitar el riesgo, compartirlo o transferirlo. SGC-Lab [email protected] San Juan de Pasto - Colombia Veamos las opciones de manejo ASUMIR. En este nivel puedes aceptar el riesgo sin necesidad de tomar otras medidas de control diferentes a las que ya posees. EVITAR. Debes tomar medidas encaminadas a prevenir su materialización. Puedes por ejemplo, reforzar los controles. O puedes tomar medidas más drásticas como por ejemplo, dejar de hacer la actividad y de esta manera el riesgo desaparece. REDUCIR. Debes tomar medidas encaminadas a disminuir tanto la probabilidad y el impacto. Puedes por ejemplo reforzar los controles o cambiarlos por otros más eficaces. COMPARTIR. Debes involucrar a un tercero en su manejo, quien en algunas veces puede absorber parte de las pérdidas ocasionadas por la ocurrencia del riesgo. Un ejemplo típico son las aseguradoras de riesgos. Una vez establecida la opción de manejo final, debes establecer las acciones a implementar para su manejo, el responsable de su respuesta y el indicador que te permita medir el cumplimiento de dichas actividades. Terminada la matriz de riesgos solo te queda hacerle seguimiento, esto lo puedes programar por ejemplo, cada seis meses o cada año. Dentro de este seguimiento debes evaluar tus indicadores y tomar medidas oportunas. Para la fase de evaluación te recomiendo implementar auditorías internas. Este ciclo lo debes repetir cuantas veces sea necesario para evitar la materialización de los riesgos, en el caso de las oportunidades debes asegurarte de que el ciclo permita la materialización de la oportunidad. SGC-Lab [email protected] San Juan de Pasto - Colombia A continuación te muestro un ejemplo de un riesgo típico en el laboratorio para diligenciar la matriz de riesgos paso a paso. Nota: Las imágenes que verás a continuación son capturas de pantalla de la matriz de riesgos hecha en Excel. Lo primero que debes hacer es identificar el riesgo, para este ejemplo el riesgo es: “Corte de energía eléctrica dentro de las instalaciones del laboratorio”. SGC-Lab [email protected] San Juan de Pasto - Colombia A continuación debes clasificar el riesgo. De esta manera el riesgo se clasifica como estratégico, financiero y tecnológico. Ver la figura de arriba. Luego debes establecer las causas: Para el ejemplo tenemos: Mal servicio de la empresa de energía Fenómenos naturales Red eléctrica interna defectuosa u obsoleta Sobrecarga de la red interna por equipos encendidos al mismo tiempo. Luego debes establecer las consecuencias que tendría para el laboratorio si el riesgo llegare a materializarse. Para este caso tenemos: Interrupción del servicio Pérdida de información Daño o deterioro de las muestras Daño o deterioro de los equipos Retrasos en las metas y compromisos institucionales. SGC-Lab [email protected] San Juan de Pasto - Colombia Ahora debes revisar qué controles tienes disponibles dentro del laboratorio, los registros que evidencian la aplicación del control, y debes también analizar si los controles disminuyen la probabilidad, el impacto o ambos, en este caso tenemos: Personal contratado para mantenimiento de la red y de equipos. Como registro se tiene un contrato de prestación de servicios, y se ha establecido que no disminuye la probabilidad pero si el impacto. Planta eléctrica. Como registro se tiene un formato de funcionamiento diario y el formato de mantenimiento anual, y se ha establecido que no disminuye la probabilidad pero sí el impacto. UPS de gran capacidad que permiten trabajar hasta diez horas continuas. Como registro se tiene un formato de funcionamiento diario y el formato de mantenimiento anual, y se ha establecido que no disminuye la probabilidad pero sí el impacto. SGC-Lab [email protected] San Juan de Pasto - Colombia Ahora que tienes identificados los controles, debes evaluar su eficacia a través de la escala de valores que la viste en la sección de los controles. Para este ejemplo, todos los controles se clasifican con un valor cuantitativo 4 y un valor cualitativo MODERADA. Como tienes más de un control para este riesgo, debes sacar un promedio, en este caso el promedio de los tres valores es 4, y se clasifica como EFICACIA MODERADA. En este momento ya puedes evaluar el riesgo con los controles existentes. Para ello debes dirigirte a la tabla de la escala de la probabilidad y asignarle un valor. En este caso hemos escogido el valor 5, ya que el riesgo se ha materializado más de una vez en el último año. Para evaluar el impacto haces exactamente lo mismo. Debes dirigirte a la tabla de la escala del impacto y asignarle un valor. En este caso hemos escogido el valor 2, ya que las consecuencias para el laboratorio son menores. Ten presente que estas consecuencias se han definido teniendo en cuenta los controles. Si el laboratorio no cuenta con dichos controles, entonces las consecuencias serían muy graves. Para encontrar el nivel de riesgo, solo multiplica la probabilidad por el impacto, en este caso el valor obtenido es 10 (5x2). Este valor lo ubicas en la escala para el nivel de riesgo y obtendrás el nivel de riesgo. SGC-Lab [email protected] San Juan de Pasto - Colombia El valor 10 corresponde a un nivel MEDIO. Los riesgos ubicados en un nivel medio tienen varias opciones de manejo, para este caso hemos decidido ASUMIR el riesgo. A continuación debes establecer unas acciones preventivas, para ello tenemos: Continuar con las rutinas de mantenimiento y seguimiento de la planta eléctrica y de las UPS. Capacitar al personal sobre el manejo de situaciones cuando existan cortes de energía eléctrica. Incluir en el plan de auditorías internas el seguimiento a la matriz de riesgos. Estas medidas preventivas deben tener unos responsables y un calendario para el seguimiento. SGC-Lab [email protected] San Juan de Pasto - Colombia Y por último, debes establecer qué hacer en caso de que el riesgo se materialice. Las acciones en su orden son: Primero. Verificar que la planta eléctrica esté funcionando bien. Segundo. Apagar todos los equipos que no sean necesarios para realizar los ensayos o para conservar las muestras. Tercero. Si el tiempo de interrupción de la energía eléctrica supera el 80% del combustible disponible en la planta eléctrica, se debe iniciar de inmediato el servicio de las UPS. Dentro de tu sistema de gestión de calidad debes establecer una frecuencia para el seguimiento de esta matriz de riesgos. Esta secuencia de análisis, desde la identificación del riesgo hasta las acciones que el laboratorio debe tomar en caso de materializarse el riesgo, la debes realizar para cada riesgo identificado en tu laboratorio. Espero que esta guía te haya sido de mucha ayuda, hasta la próxima!! Oscar Alexander Delgado Arcos Director y Fundador de SGC-Lab SGC-Lab [email protected] San Juan de Pasto - Colombia