Foro: Gestión de procesos y por procesos

Si se actualiza la matriz de riesgos, ¿se debe llevar algun control de cambios?

  • dfbetancou
    • 10/05/17 20:47
    • Imagen de dfbetancou
    • Reg.: 21/04/17
    • Posts: 6
    (0/0)
    Hola a todos.

    Tengo una matriz de riesgos básica debidamente diligenciada: Riesgos identificados, valoración, plan de mitigación, plan de operación y riesgo residual.

    Hay un cronograma donde se revisa la efectividad de los planes de mitigación y planes de operación para evaluar si se deben cambiar y si han sido efectivos.

    Igualmente hay fechas en ese cronograma para hacer la revisión de la matriz de riesgos y actualizar de acuerdo al contexto actual de la organización.

    La preguntas son:

    Esa matriz está en un documento codificado con versión 1, es un formato. ¿Puedo modificar la matriz libremente?, de tal forma que no se lleva un control de la evolución del riesgo, por ejemplo antes era 3 de probabilidad y 5 de impacto, pero se adquirió x software que hace que la probabilidad se vea reducida, por lo tanto paso de 3 a 1 en probabilidad. ¿Pasa algo si hago ese cambio libremente en mi matriz de riesgos?

    Lo otro es, cómo hago para decir que los planes de tratamiento del riesgo son efectivos?

    Y por último, en las salidas no conforme, cómo puedo evaluar la eficacia de una salida no conforme?

    A todos expertos, muchas gracias!
  • Edgar Villena
    • 12/05/17 22:18
    • Imagen de Edgar Villena
    • Reg.: 25/09/12
    • Perú
    • Posts: 440
    (0/0)

    dfbetancou escribió:
    Hola a todos.

    Tengo una matriz de riesgos básica debidamente diligenciada: Riesgos identificados, valoración, plan de mitigación, plan de operación y riesgo residual.

    Hay un cronograma donde se revisa la efectividad de los planes de mitigación y planes de operación para evaluar si se deben cambiar y si han sido efectivos.

    Igualmente hay fechas en ese cronograma para hacer la revisión de la matriz de riesgos y actualizar de acuerdo al contexto actual de la organización.

    La preguntas son:

    Esa matriz está en un documento codificado con versión 1, es un formato. ¿Puedo modificar la matriz libremente?, de tal forma que no se lleva un control de la evolución del riesgo, por ejemplo antes era 3 de probabilidad y 5 de impacto, pero se adquirió x software que hace que la probabilidad se vea reducida, por lo tanto paso de 3 a 1 en probabilidad. ¿Pasa algo si hago ese cambio libremente en mi matriz de riesgos?

    Lo otro es, cómo hago para decir que los planes de tratamiento del riesgo son efectivos?

    Y por último, en las salidas no conforme, cómo puedo evaluar la eficacia de una salida no conforme?

    A todos expertos, muchas gracias!


    Hola dfbetancou:

    1. No es necesario actualizar la versión del formato mientras no cambies la estructura del mismo, es decir, si únicamente modificas la información contenida en el registro no tiene porqué actualizarse la versión del formato pero si tienes necesidad de incluir nuevos campos de información (por ejemplo, propietario del riesgo) entonces se actualiza la versión del formato.

    2. Los planes de tratamiento de riesgos son eficaces en la medida que demuestres que están correctamente implementados, funcionan y cumplen su propósito. Tendríamos que ver que tipo de tratamiento has definido para cada caso, si nos das ejemplos podríamos ayudarte mejor.

    3. ¿Por qué tendríamos que evaluar la eficacia de una salida no conforme?

    Saludos cordiales
    _________________
    Edgar Villena, PMP®
    IRCA Quality Management Systems Auditor ISO 9001 (2008/2015)
    PECB Certified ISO 9001 Lead Implementer
    PECB Certified ISO 9001 Auditor
    PECB Certified ISO 31000 Lead Risk Manager
  • dfbetancou
    • 12/05/17 23:45
    • Imagen de dfbetancou
    • Reg.: 21/04/17
    • Posts: 6
    (0/0)
    Muchas gracias Edgar. Con esto quedo más claro.
  • Belsy Vannesa Garcia Mendoza
    • 4/05/18 1:22
    • Imagen de Belsy Vannesa Garcia Mendoza
    • Reg.: 23/08/10
    • Posts: 21
    (0/0)
    Hola. Edgar Villena.

    Quisiera corroborar con usted, si por dada uno de los riesgos no adminisbles, debo abrir una acción correctiva. Creo que la respuesta es obvia, sin embargo, me preocupa sobremanera tener que abrir tantas acciones a puertas de la auditoria de certificación en la norma.

    Quisiera aclarar un poco este punto, por lo que agradecería me ayudara dado su conocimiento en el tema.

    De ante mano, gracias.

    Cordialmente, Belsy García M
  • Edgar Villena
    • 4/05/18 1:52
    • Imagen de Edgar Villena
    • Reg.: 25/09/12
    • Perú
    • Posts: 440
    (0/0)

    Belsy Vannesa Garcia Mendoza escribió:
    Hola. Edgar Villena.

    Quisiera corroborar con usted, si por dada uno de los riesgos no adminisbles, debo abrir una acción correctiva. Creo que la respuesta es obvia, sin embargo, me preocupa sobremanera tener que abrir tantas acciones a puertas de la auditoria de certificación en la norma.

    Quisiera aclarar un poco este punto, por lo que agradecería me ayudara dado su conocimiento en el tema.

    De ante mano, gracias.

    Cordialmente, Belsy García M


    Hola Belsy:

    En el apartado 6.1 la norma ISO 9001:2015 nos pide determinar los riesgos y oportunidades que es necesario abordar, y también nos pide planificar, implementar y verificar la eficacia de estas acciones. Estas acciones no son acciones correctivas.

    Recuerda que las acciones correctivas no sirven para eliminar la causa raíz de las no conformidades.

    Si han definido acciones para abordar los riesgos y oportunidades, responsables y plazos para su implementación, y durante la auditoría demuestran que estas acciones están siendo implementadas según lo planificado, no deberían tener inconvenientes, aunque lo ideal sería tener un mayor avance (evaluación de la eficacia de las acciones) pero se entiende que el pensamiento basado en riesgos es un enfoque nuevo para algunas organizaciones y naturalmente toma tiempo su incorporación en el SGC.

    Espero haberte aclarado la duda.

    Saludos cordiales
    _________________
    Edgar Villena, PMP®
    IRCA Quality Management Systems Auditor ISO 9001 (2008/2015)
    PECB Certified ISO 9001 Lead Implementer
    PECB Certified ISO 9001 Auditor
    PECB Certified ISO 31000 Lead Risk Manager
  • Belsy Vannesa Garcia Mendoza
    • 4/05/18 2:51
    • Imagen de Belsy Vannesa Garcia Mendoza
    • Reg.: 23/08/10
    • Posts: 21
    (0/0)
    Edgar, Hola.
    Muchas Gracias.

    Efectivamente hemos definido actividades, responsables y fechas para abordar los riesgos detectados y estamos trabajando en ello. Entiendo entonces que las medidas tomadas son la forma en las que abordo los riesgos, mas no son acciones correctivas y por lo tanto no debo generarlas.

    Ahora me asalta una duda, en cuanto a si debo definir criterios para la evaluación de la eficacia de las medidas tomadas o si sencillamente debo hacer seguimiento a las mismas, durante X tiempo, para verificar que los riesgos no se materialicen y de esa manera puedo evaluar como eficaz las medidas.

    Gracias nuevamente.

    Cordialmente,
    Belsy Garcia Mendoza
  • Edgar Villena
    • 4/05/18 3:06
    • Imagen de Edgar Villena
    • Reg.: 25/09/12
    • Perú
    • Posts: 440
    (0/0)

    Belsy Vannesa Garcia Mendoza escribió:
    Edgar, Hola.
    Muchas Gracias.

    Efectivamente hemos definido actividades, responsables y fechas para abordar los riesgos detectados y estamos trabajando en ello. Entiendo entonces que las medidas tomadas son la forma en las que abordo los riesgos, mas no son acciones correctivas y por lo tanto no debo generarlas.

    Ahora me asalta una duda, en cuanto a si debo definir criterios para la evaluación de la eficacia de las medidas tomadas o si sencillamente debo hacer seguimiento a las mismas, durante X tiempo, para verificar que los riesgos no se materialicen y de esa manera puedo evaluar como eficaz las medidas.

    Gracias nuevamente.

    Cordialmente,
    Belsy Garcia Mendoza


    Hola Belsy:

    Las acciones serán eficaces en tanto cumplan su propósito, por ejemplo eliminar el riesgo, aprovechar una oportunidad, mitigar un situación no deseada, etc. Las acciones pueden estar orientadas a la probabilidad o al impacto.

    El seguimiento de los riesgos también es importante porque precisamente te permite verificar la eficacia de las acciones y además identificar si hay algún cambio en la probabilidad o consecuencia del riesgo. Algo que puede no ser un riesgo crítico hoy en unos meses puede cambiar y convertirse en un riesgo alto.

    Saludos cordiales.
    _________________
    Edgar Villena, PMP®
    IRCA Quality Management Systems Auditor ISO 9001 (2008/2015)
    PECB Certified ISO 9001 Lead Implementer
    PECB Certified ISO 9001 Auditor
    PECB Certified ISO 31000 Lead Risk Manager
  • QSYSMX
    • 4/05/18 5:05
    • Imagen de QSYSMX
    • Reg.: 8/05/12
    • Posts: 125
    (0/0)
    Hola Edgar

    Respecto a tu comentario:

    Hola dfbetancou:

    1. No es necesario actualizar la versión del formato mientras no cambies la estructura del mismo, es decir, si únicamente modificas la información contenida en el registro no tiene porqué actualizarse la versión del formato pero si tienes necesidad de incluir nuevos campos de información (por ejemplo, propietario del riesgo) entonces se actualiza la versión del formato.


    En mi punto de vista, si es necesario tener un control, sino de que manera se controla el cambio de un riesgo, (su valor, sus planes de acción, su impacto,etc.?)

    estoy de acuerdo que a un registro, ejemplo: el de control de documentos, es un documento dinámico, es decir está cambiando constantemente (la fecha de cambio, el responsable,etc.)
    no es tan importante porque el propio cambio ya está documentado en el propio procedimiento.

    Pero en éste caso, que es un formato para control de riesgo, en lo que tienes razón es que si cambió su estructura, se haga revisión, de acuerdo, pero que si cambias lo interno, no, ahi no estoy de acuerdo.

    Entonces como controlar los cambios de riesgos?

    Dame tus puntos de vista.

    Saludos.
  • Edgar Villena
    • 4/05/18 14:45
    • Imagen de Edgar Villena
    • Reg.: 25/09/12
    • Perú
    • Posts: 440
    (0/0)

    QSYSMX escribió:
    Hola Edgar

    Respecto a tu comentario:

    Hola dfbetancou:

    1. No es necesario actualizar la versión del formato mientras no cambies la estructura del mismo, es decir, si únicamente modificas la información contenida en el registro no tiene porqué actualizarse la versión del formato pero si tienes necesidad de incluir nuevos campos de información (por ejemplo, propietario del riesgo) entonces se actualiza la versión del formato.


    En mi punto de vista, si es necesario tener un control, sino de que manera se controla el cambio de un riesgo, (su valor, sus planes de acción, su impacto,etc.?)

    estoy de acuerdo que a un registro, ejemplo: el de control de documentos, es un documento dinámico, es decir está cambiando constantemente (la fecha de cambio, el responsable,etc.)
    no es tan importante porque el propio cambio ya está documentado en el propio procedimiento.

    Pero en éste caso, que es un formato para control de riesgo, en lo que tienes razón es que si cambió su estructura, se haga revisión, de acuerdo, pero que si cambias lo interno, no, ahi no estoy de acuerdo.

    Entonces como controlar los cambios de riesgos?

    Dame tus puntos de vista.

    Saludos.


    Hola QSYSMX:

    El contenido del registro puede contemplar algún campo de comentarios u observaciones para registrar el seguimiento de los riesgos (cambios, evaluación de eficacia, etc.) y si hay necesidad de hacer una nueva valoración del nivel de riesgo se puede agregar una nueva fila, de tal manera que puedes filtrar por el código del riesgo y tendrás como una bitácora con todas las acciones implementadas con respecto a dicho riesgo.

    Saludos cordiales
    _________________
    Edgar Villena, PMP®
    IRCA Quality Management Systems Auditor ISO 9001 (2008/2015)
    PECB Certified ISO 9001 Lead Implementer
    PECB Certified ISO 9001 Auditor
    PECB Certified ISO 31000 Lead Risk Manager
  • QSYSMX
    • 4/05/18 16:13
    • Imagen de QSYSMX
    • Reg.: 8/05/12
    • Posts: 125
    (0/0)
    Gracias pro tu respuesta

    Yo plantearía el siguiente escenario:

    En la modificacion de un procedimiento de infraestructura ( que normalmente no es de gran impacto en muchas organizaciones)
    y digamos que el cambio es el que los reportes se deben entregar en PDF (algo que no es de impacto) y ahi, se requiere un control de cambios.
    Revision, aprobacion,capacitación, etc., para lo cual se hace todo ese proceso para cambiar el procedimiento.

    Mi pregunta: Si en la matriz de riesgos, se esta haciendo un cambio importante
    (es un riesgo de gran impacto $$$$ US DLS) , quiza se cambia su valor, su impacto,etc., porque hacer el cambio sin controles, algo como agregar una columna
    para los cambios?

    Que no será mejor, tener un documento controlado con la informacion de los riesgos y que cuando se cambien aspectos de los riesgos, sean manejados
    con controles, no como un simple llenado de registros?

    Favor de comentar

    Recuerda, hablamos de riesgos, que en muchas empresas, hablamos de situaciones
    donde se involucran recursos, cuestiones legales, demandas,etc.
  • Edgar Villena
    • 4/05/18 16:30
    • Imagen de Edgar Villena
    • Reg.: 25/09/12
    • Perú
    • Posts: 440
    (0/0)

    QSYSMX escribió:
    Gracias pro tu respuesta

    Yo plantearía el siguiente escenario:

    En la modificacion de un procedimiento de infraestructura ( que normalmente no es de gran impacto en muchas organizaciones)
    y digamos que el cambio es el que los reportes se deben entregar en PDF (algo que no es de impacto) y ahi, se requiere un control de cambios.
    Revision, aprobacion,capacitación, etc., para lo cual se hace todo ese proceso para cambiar el procedimiento.

    Mi pregunta: Si en la matriz de riesgos, se esta haciendo un cambio importante
    (es un riesgo de gran impacto $$$$ US DLS) , quiza se cambia su valor, su impacto,etc., porque hacer el cambio sin controles, algo como agregar una columna
    para los cambios?

    Que no será mejor, tener un documento controlado con la informacion de los riesgos y que cuando se cambien aspectos de los riesgos, sean manejados
    con controles, no como un simple llenado de registros?

    Favor de comentar

    Recuerda, hablamos de riesgos, que en muchas empresas, hablamos de situaciones
    donde se involucran recursos, cuestiones legales, demandas,etc.


    QSYSMX:

    La matriz de riesgos (o como se le quiera llamar) es un registro, si hay un cambio importante en la organización, estamos de acuerdo, hay que identificar los riesgos y oportunidades, así como evaluar su nivel (según su probabilidad e impacto), por lo tanto lo que se está actualizando es el contenido del registro.

    Imaginemos por un momento que en lugar de usar un formato en hoja de cálculo o papel, usas un software para la gestión de riesgos, el hecho que actualices la información de un riesgo previamente identificado o que generes un registro para un nuevo riesgo no significa que tu software va a cambiar de versión. El medio (formato, plantilla, software, etc.) es solo un medio de soporte y la versión de este debe cambiar cuando cambian los campos, formato o funcionalidad del mismo.

    Espero haberme explicado mejor.

    Saludos cordiales
    _________________
    Edgar Villena, PMP®
    IRCA Quality Management Systems Auditor ISO 9001 (2008/2015)
    PECB Certified ISO 9001 Lead Implementer
    PECB Certified ISO 9001 Auditor
    PECB Certified ISO 31000 Lead Risk Manager