Entendiendo el enfoque de riesgos y oportunidades

¿Qué es el Enfoque de Riesgos y Oportunidades?

El enfoque de riesgos y oportunidades es una forma preventiva de trabajar que busca anticiparse a los problemas antes de que ocurran y, al mismo tiempo, aprovechar las oportunidades para mejorar o crecer.

En palabras simples:

No se trata de apagar incendios, sino de evitarlos y aprovechar lo bueno cuando se presenta

¿Por qué es importante?

En cualquier empresa, siempre hay cosas que pueden salir mal (retrasos, errores, quejas, pérdida de clientes) y también cosas que pueden salir muy bien (nuevos clientes, tecnologías, alianzas, formas más eficientes de trabajar).

El enfoque de riesgos y oportunidades ayuda a:

• Prevenir fallas o incumplimientos antes de que pasen.

• Reducir los efectos de los riesgos, en caso de que no se puedan evitar.

• Aprovechar las oportunidades de mejora o crecimiento. (eficiencia, ahorro, nuevos mercados, etc.).

• Reducir sorpresas: menos interrupciones, reclamos y pérdidas.

• Mejorar fiabilidad de entregas y productos.

• Soporte a decisiones: priorizar inversiones con criterios objetivos.

• Dar estabilidad y confianza a los clientes y partes interesadas, al asegurar que la empresa trabaja con previsión, no con improvisación.

¿Cómo se aplica en la práctica?

ISO 9001 pide que las empresas piensen estratégicamente sobre sus procesos y respondan preguntas como:

1. ¿Qué podría salir mal?
   Ejemplo: que un proveedor no entregue a tiempo, afectando una entrega.

2. ¿Qué podríamos hacer para evitarlo?
   Tener proveedores alternos o verificar inventarios con anticipación.

3. ¿Qué oportunidades tenemos para mejorar?
   Automatizar un proceso, capacitar al personal o mejorar la atención al cliente.

De esta forma, cada proceso se fortalece, y la empresa se vuelve más segura, confiable y competitiva.

¿Qué pide ISO 9001:2015?

• Determinar riesgos y oportunidades que afectan la capacidad del SGC para lograr resultados esperados.

• Planificar acciones para tratar esos riesgos y oportunidades.

• Integrar esas acciones en los procesos del SGC y evaluar su eficacia.

• Documentar evidencias razonables de que se identificó, actuó y se revisó (la norma no exige un formato rígido).

Proceso práctico (pasos para implementar)

Paso A — Contexto y partes interesadas

a) Revisar el contexto de la organización (interno y externo).

b) Identificar partes interesadas y sus expectativas (clientes, proveedores, autoridades, empleados).
Ejemplo: competencia por precio = riesgo; demanda de mayor trazabilidad = oportunidad.

c) Identificar los riesgos y oportunidades derivados del análisis de contexto de la organización.

Paso B — Identificación de riesgos y oportunidades por proceso.

Hacer sesiones rápidas (workshops) por proceso, con la finalidad de identificar los riesgos y oportunidades relacionados. Algunas preguntas guía que pueden utilizarse:

a) ¿Qué podría impedir que el proceso entregue los resultados planificados?

b) ¿Qué podría impedir el logro de objetivos o metas relacionadas con el proceso en cuestión?

c) ¿Qué eventos favorecerían la mejora del proceso?

d) ¿Qué cambios en el mercado podrían afectarnos positiva/negativamente?

Paso C — Evaluación y priorización

Evaluar los riesgos y oportunidades significa analizar qué tan probable es que ocurra un problema u oportunidad y qué impacto tendría si sucede.
Priorizar significa darle mayor atención a los riesgos más graves oa las oportunidades más probables, para enfocar los esfuerzos donde realmente importa.

En otras palabras: No todos los riesgos u oportunidades tienen el mismo nivel de probabilidad de ocurrencia o consecuencia, por eso es necesario clasificarlos antes de actuar.

Se deben determinar los criterios bajo los cuales se llevará a cabo la evaluación, entre estos criterios deberán contemplar la probabilidad de ocurrencia del riesgo u oportunidad, asi como el impacto en caso de que este se presente. (Se pueden contemplar otros criterios de acuerdo a las condiciones de cada organización.)

Ejemplo:

a) Establecer valores para calificar la probabilidad e impacto de los riesgos. Método simple y efectivo: matriz con una valoración entre 1–5:

Probabilidad: 1 Muy baja — 5 Muy alta.

Impacto: 1 Insignificante — 5 Catastrófico.

b) Establecer la puntuación del riesgo = Probabilidad × Impacto (1–25).

c) Definir umbrales para clasificar el nivel de riesgo en base a la puntuación de cada uno. 

    Puntuación del riesgo 1–6 Califica como riesgo bajo

    Puntuación del riesgo 7–12 Califica como riesgo medio

   Puntuación del riesgo 13–25 Califica como riesgo alto.

Ejemplo aritmético: Si el riesgo presenta una Probabilidad = 4 y un Impacto = 3 → se multiplican estos valores 4 × 3 = 12 → Se clasifica el riesgo como nivel medio.

Paso D — Planificar acciones (tratamiento)

Para cada plan de acciones para tratar riesgos u oportunidades se debe definir:

a) Responsable de la acción.

b) Acción específica a ejecutar.

c) Plazo de tiempo o fecha compromiso para terminar la acción.

d) Recursos necesarios para implementar las acciones.

e) Indicador de seguimiento.

Opciones de tratamiento para riesgos:

a) Evitar (Eliminar la actividad que genera el riesgo).

b) Reducir (Establecer controles que permitan minimizar los efectos negativos en caso de que un riesgo se presente.).

c) Transferir (El tratamiento del riesgo se asigna a algún externo, por ejemplo, la subcontratación de un proceso, la contratación de un seguro, etc.).

d) Aceptar (Se acepta trabajar con el riesgo, a cambio de la obtención de un beneficio, se evalúa con el enfoque costo beneficio).

Opciones de tratamiento para oportunidades:

a) Explotar (Establecer acciones para asegurar que la oportunidad suceda).

b) Optimizar/Mejorar (Establecer acciones enfocadas en incrementar probabilidad de ocurrencia de la oportunidad).

c) Compartir (Establecer alianzas con otras partes interesadas, las cuales permitan lograr la oportunidad.)

Paso E — Implementación y control

• Implementar los planes de acción de acuerdo a lo planificado en la etapa anterior.

• Ejecutar revisiones al cumplimiento de la planificación establecida, solicitando se genere la evidencia correspondiente. (órdenes de trabajo, actas, registros de capacitación, informes, etc.)

• Integrar acciones en los procesos (procedimientos, instrucciones, KPIs).

• Registrar evidencias (órdenes de trabajo, actas, registros de capacitación, informes).

Paso F — Revisión y mejora

Revisar eficacia del plan de tratamiento. Dicha evaluación se realiza tiempo después de haber terminado con el plan de acciones, no de forma inmediata, significa dar tiempo para visualizar resultados.

1) La evaluación de eficacia de un riesgo, consiste en reevaluar el riesgo una vez que el plan de tratamiento se terminó y verificar si el nivel de riesgo se reduce. Los criterios para evaluación de eficacia deben ser los mismos que se utilizaron en la etapa c (Evaluación y priorización). Si el nivel de riesgo se reduce significa que el tratamiento fue eficaz, si el nivel de riesgo permanece igual o aumenta, significa que le plan de tratamiento no fue eficaz. La evaluación deberá estar sustentada con evidencia objetiva, por ejemplo si se indica que aumento el indicador de entregas a cliente, se debe tener evidencia de que los pedidos incrementaron su índice de cumplimiento respecto al periodo anterior.

2) En caso de oportunidades, la evaluación de eficacia se verifica a través del logro o no de la oportunidad en cuestión.

Acciones a ejecutar derivadas del resultado de evaluación de eficacia:

a) En caso de un tratamiento no eficaz, se debe ajustar el plan con el enfoque de mejora continua PHVA.

b) En caso de que el tratamiento resulte eficaz podría evaluarse la necesidad de Integrar las acciones de los planes de tratamiento en los procesos. (Procedimientos, instrucciones, KPIs, etc.)

Herramientas y técnicas útiles (prácticas)

• Matriz de riesgos (probabilidad × impacto) — simple y suficiente para la mayoría.

• FMEA (Análisis Modal de Fallos y Efectos) — para procesos críticos (detalle causas, efectos y acciones).

• DAFO — para riesgos/oportunidades estratégicas.

• Listas de verificación por proceso.

• Análisis causa raíz (5 porqués, diagrama de Ishikawa) — para acciones eficaces.

• Registro / Risk Register en Excel con columnas claras (ver plantilla abajo).

Indicadores relacionados con los planes de tratamiento de riesgos y oportunidades.

• % de riesgos con tratamiento implementado en plazo.

• % de eficacia en los planes de tratamiento de riesgos y oportunidades.

• Reducción en número de no conformidades relacionadas con riesgos identificados.

• Incremento por oportunidades (ej. % aumento ventas por nueva oferta).

Integración con otros requisitos ISO 9001

• Contexto / partes interesadas → entrada para identificar riesgos/oportunidades.

• Liderazgo → asignación de responsabilidades, aportación de recursos y toma de decisiones.

• Planificación (Clause 6) → debe reflejar el tratamiento de riesgos/oportunidades.

• Operación y control → acciones de mitigación deben quedar registradas en operación.

• Evaluación del desempeño → seguimiento mediante indicadores y revisión por la dirección.

Errores comunes y cómo evitarlos

• Hacer un “registro por cumplir” sin integración real. 

• Evaluaciones subjetivas y poco consistentes. 

• No revisar la eficacia de las acciones. 

• Exceso de detalle en riesgos irrelevantes.