Con el crecimiento exponencial de las tecnologías de la información en los últimos años, han surgido distintas herramientas que modifican la forma en que trabajamos; minimizando el tiempo que tomaba ejecutar alguna acción y abriendo panoramas nuevos respecto a cómo resolver algún problema particular. Dentro de todas estas herramientas, hay una en específico que ha tenido un auge increíble en los últimos tiempos y que sigue creciendo: La Inteligencia Artificial.
La inteligencia artificial (IA) se refiere a la capacidad de las máquinas o sistemas informáticos para realizar tareas que normalmente requieren inteligencia humana. Esto incluye la capacidad de aprender de la experiencia “aprendizaje automático”, razonar, entender el lenguaje natural, reconocer patrones y adaptarse a nuevas situaciones. El desconocimiento y desconfianza hacía las aplicaciones y capacidades de estas mismas ha generado la necesidad de administrar los riesgos sobre las IA y sus aplicaciones.
Es por ello que la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC). han publicado la norma ISO/IEC 42001:2023 Information technology — Artificial intelligence — Management system. Siendo esta la primera norma internacional para el desarrollo e implantación de sistemas de gestión fiables de IA, equilibrando la innovación con la gobernanza.
Previamente ISO contaba con estándares como lo es ISO/IEC 22989 donde se establece la terminología de IA y el campo de esta, la ISO/IEC 23053 que establece un marco de IA y aprendizaje automático ML (Machine Learning), así como la ISO/IEC 23894 que orienta sobre la gestión de riesgos relacionados con la IA para organizaciones.
Implementar este estándar significa poner en marcha políticas y procedimientos para la buena gobernanza de una organización en relación con la IA, utilizando la metodología PHVA, en lugar de observar los detalles de aplicaciones específicas de IA, proporciona una forma práctica de gestionar los riesgos y oportunidades relacionados con la IA en toda una organización.
Los objetivos de la norma ISO/IEC 42001:2023 son los siguientes:
Ahorro de costos y aumento de la eficiencia.
Promover el desarrollo y el uso de sistemas de inteligencia artificial fiables, transparentes y responsables.
Uso de análisis de datos, conocimientos y aprendizaje automático.
Marco para la gestión de riesgos y oportunidades.
Fomentar confianza en la gestión de la inteligencia artificial al alentar a las organizaciones a dar prioridad al bienestar humano, la seguridad y la experiencia del usuario durante el proceso de diseño e implementación de la IA.
Y los beneficios de la implementación de la norma ISO/IEC 42001:2023 son los siguientes:
IA responsable: garantiza el uso ético y responsable de la inteligencia artificial.
Gestión de la reputación: mejora la confianza en las aplicaciones de IA.
Gobernanza de la IA: respalda el cumplimiento de los estándares legales y regulatorios.
Orientación práctica: gestiona eficazmente los riesgos específicos de la IA.
Identificar oportunidades: Fomenta la innovación dentro de un marco estructurado.
Por su parte la norma ISO/IEC 42001:2023 específica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Inteligencia Artificial (AIMS) dentro de las organizaciones.
Al igual que otros estándares ISO, la norma puede ser implementada en empresas y organizaciones de cualquier tipo, sin importar su tamaño, giro, sector, etc. El sistema de gestión de IA proporciona requisitos específicos para gestionar los problemas y riesgos derivados del uso de IA en una organización. Este enfoque común facilita la implementación y la consistencia con otras normas de sistemas de gestión, por ejemplo, relacionadas con la Calidad (ISO 9001:2015) y/o Seguridad y Privacidad (ISO 27001:2022).
La estructura de esta norma es similar a la de otras normas de ISO, consta de 10 capítulos que lo son:
1.- Alcance: el objetivo es proporcionar claridad sobre los límites y la aplicación de la norma – (Informativa)
2.- Referencias normativas: enumera las normas y documentos de referencia para la aplicación – (Informativa)
3.- Términos de referencia: se proporcionan los términos clave utilizados en la norma, junto con sus definiciones – (Informativa)
4.- Contexto de la organización: se centra en comprender el contexto en que opera la organización – (Normativa)
5.- Liderazgo: establece los requisitos para el liderazgo y el compromiso de la alta dirección con el sistema – (Normativa)
6.- Planificación: describe los requisitos para la planificación del sistema de gestión, incluye la identificación de riesgos y oportunidades que puedan afectar a la organización – (Normativa)
7.- Apoyo: abordan los requisitos para proporcionar los recursos necesarios para el sistema – (Normativa)
8.- Operación: aborda la ejecución de las actividades planificadas para satisfacer los requisitos del cliente y los objetivos de calidad. – (Normativa)
9.- Evaluación del desempeño: establece los requisitos para monitorear, mediar, analizar y evaluar el desempeño del sistema – (Normativa)
10.- Mejora: aborda el principio fundamental de mejora continua. Establece los requisitos para identificar oportunidades de mejora y tomar medidas para abordarlos – (Normativa)
Como todo estándar de cualquier norma ISO, la ISO/IEC 42001:2023 no es la excepción y cuenta con una estructura de alto nivel, esto quiere decir es un modelo normalizado establecido por parte del Comité ISO, para que todas las nuevas normas de gestión respeten y compartan un objetivo común: la uniformización de las normas de gestión que nos apoya a sincronizar diferentes normas, adoptar un lenguaje común para facilitar que las organizaciones integren diferentes Sistemas de Gestión y puedan disfrutar de algunas ventajas añadidas, como puede ser, la eliminación de la duplicidad documental.
Cómo se mencionó previamente, se cuenta con un modelo establecido, aunque dependiendo del esquema que se presente, es el enfoque que se le dará para dicha estructura. En esta norma los cambios que se presentan a comparación del esquema ISO 9001, se encuentran en el capítulo 8 de esta norma, este capítulo solo cuenta con 4 subtemas que son:
1 Planificación y control operativo: nos habla de cómo la organización está obligada a planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos.
2 Evaluación de riesgos de IA: deberá realizar evaluaciones de riesgos de IA y conservar información documentada de los resultados de todas las evaluaciones de riesgos de IA.
3 Tratamiento de riesgos de IA: implementar el plan de tratamiento de riesgos de IA según lo establecido.
4 Evaluación del impacto del sistema de IA: se deberá realizar evaluaciones del impacto del sistema de IA según lo establecido, en intervalos planificados o cuando se propongan cambios significativos que vayan a ocurrir.
Esta norma a su vez cuenta con cuatro anexos, de los que se dividen en dos Normativos y dos Informativos:
Normativos (Anexo A y B)
Anexo A: proporciona una referencia para cumplir con los objetivos organizacionales y abordar los riesgos relacionados con el diseño y la operación de los sistemas de IA, los cuales se encuentran detallados en la Tabla A.1.
Anexo B: proporciona orientación para la implementación de los controles mencionados en la Tabla A.1.
Informativos (Anexo C y D)
Anexo C: describe los posibles objetivos organizacionales, fuentes de riesgo y descripciones que se pueden considerar para gestionar riesgos, este anexo no pretende ser exhaustivo ni aplicable para todas las organizaciones.
Anexo D: menciona que el sistema de gestión es aplicable a cualquier organización que desarrolle, proporcione o utilice productos o servicios que utilicen un sistema de IA.
En conclusión, podemos declarar que estamos en hombros de gigantes, estos avances son prometedores en todos los ámbitos, pero como cualquier otra herramienta esta debe ser utilizada de manera correcta y asi poder aprovecharla en su máxima expresión para todas aquellas organizaciones que quieran adentrarse a la implementación de este innovador Sistema de Gestión.
Autor: Daniel Peña, Carmen Valenzuela, Eréndira Orozco, Diego Ayala.
La norma ISO 9001 se ha convertido en una de las normas que ayuda a las organizaciones a demostrar a los clientes que pueden ofrecer productos y servicios de calidad; y con más de 1,1 millones de certificados emitidos en todo el mundo, se ha convertido en la norma referente cuando hablamos de Sistemas de Gestión.
La importancia de la norma ISO 9001 radica en que plantea a las organizaciones cómo pueden hacer frente a los entornos dinámicos en los que se encuentran, en donde su crecimiento está determinado por su capacidad para adaptarse a las nuevas exigencias del mercado y de sus partes Interesadas.
Para seguir ofreciendo a las organizaciones un modelo de gestión de calidad actualizado y que les permita adaptarse a los nuevos retos del mercado, en noviembre de 2023 se sometió a un proceso de revisión la norma ISO 9001. ¿Qué sabemos hasta ahora de esta revisión?
El reto actual al que se enfrentan las organizaciones es el de mantener una visión estratégica en donde la sostenibilidad sea un factor importante en la toma de decisiones. Es decir, mantener una visión que asegure las necesidades del presente sin comprometer las necesidades futuras.
Es bajo esta premisa que el comité técnico del organismo ISO, en las sesiones de revisión está considerando incorporar a la “Estructura Armonizada” (anteriormente denominada “Estructura de Alto Nivel”), el concepto de “Cambio climático.”
Nuestra experiencia como organismo certificador nos lleva a proponer que el tema pudiese ser abordado en la cláusula 4 “Contexto de la organización”, específicamente en el requisito 4.1 “Comprensión de la organización y su contexto.” Ya que en este apartado de la norma se pide a las organizaciones contemplar las cuestiones externas e internas que son pertinentes para su propósito y dirección estratégica que afectan a su capacidad para lograr sus objetivos. Y es aquí en donde las organizaciones pudieran considerar el cambio climático como un tema relevante al que pueden contribuir sin afectar sus operaciones.
Si bien lo anterior es solo un punto de vista de donde se podría incluir este nuevo requisito, invitamos a todos nuestros clientes, partes interesadas y lectores a considerar dentro de sus visiones estratégicas, de qué manera contribuir a la disminución del cambio climático al desarrollar sus operaciones. Para que, cuando sea publicada la norma ISO/WD 9001 con los cambios mencionados, estén preparados para integrarlos de manera fácil y rápida dentro de sus sistemas de gestión. Esperemos que en el transcurso del año el organismo ISO nos proporcione más información y orientación sobre el tema. Por el momento la única información disponible es esta norma de referencia ISO9001:2015/Amd 1: Enmienda
La inclusión del concepto de cambio climático dentro de la estructura armonizada de la norma ISO 9001, además de demostrar el compromiso que tiene el organismo ISO con los objetivos de desarrollo sostenible de la ONU, ayuda a las organizaciones a mantener un sistema de gestión que contemple dentro de su alcance los retos actuales y emergentes a los que se enfrentan.
Te invitamos mantenerte atento a nuestras redes sociales en donde estaremos compartiendo más información sobre el tema, no olvides que en Global Standards compartimos conocimiento.
Como sabemos una parte muy importante para la industria alimentaria es asegurar que los alimentos producidos no generaran ningún tipo de daño a la salud de los consumidores, como apoyo para verificar que sea así existen entidades que pueden realizar análisis a los alimentos que evidencien que son apropiados para su consumo de manera física, química y microbiológica, dichas entidades son los laboratorios de análisis.
Dentro de ellos podemos encontrar tres casos laboratorios de análisis de alimentos que no tienen una certificación ni acreditación, laboratorios que cuentan con una certificación y los laboratorios que cuentan con una acreditación.
¿Qué diferencia hay entre ellos?
Los laboratorios que no cuentan con una certificación o acreditación son laboratorios que solo ejecutan análisis mediante una metodología en especifico pero que no cuentan con un documento que avale que tienen un sistema adecuado para la ejecución de sus actividades y mucho menos un aval de su competencia técnica para obtener resultados confiables.
Un laboratorio certificado demuestra que tiene un sistema de gestión que ordena y estandariza la manera de realizar sus actividades conforme a los requerimientos establecidos por el estándar bajo el cual maneja su certificación ejemplo de ello un laboratorio que tenga una certificación bajo la ISO 9001:2015.
Un laboratorio acreditado demuestra aparte de tener un sistema de gestión que estandariza sus procesos, que cuenta con una competencia técnica en su personal para realizar análisis a los alimentos y emitir resultados confiables, así como demuestra no contar con algún conflicto de interés para el tratamiento de las muestras, emisión de resultados y con un alto grado de confidencialidad en el manejo de la información.
A parte de ello podemos estar seguros de que cuenta con las instalaciones, personal, equipamiento y capacidad técnica para poder dar el tratamiento a las muestras que son analizadas.
La norma bajo la cual puede ser acreditado un laboratorio de alimentos es la ISO/IEC 17025:2017.
Como podemos ver existe una gran diferencia entre cada uno de los tipos de laboratorios que describimos anteriormente.
Es por ello que podemos declarar que la importancia de los laboratorios acreditados de alimentos es relevante para las organizaciones que conforman a la industria alimentaria ya que dan seguridad de la verificación de sus productos o procesos mediante resultados confiables, veraces y con una ejecución técnica validada en las metodologías utilizadas para la realización de los análisis, así como del personal que las realiza.
Por ultimo podemos declarar que el uso de laboratorios acreditados promueve la confiabilidad de la industria alimentaria y los productos que ofrece; a través de su cultura de calidad en la emisión de datos, los hechos medibles, personal calificado y metodologías de análisis validadas.
Un sistema de gestión integrado (SGI) es un marco integral que combina múltiples sistemas de gestión en un sistema único y cohesivo, como, por ejemplo: calidad, medio ambiente y seguridad y salud en el trabajo, en un solo marco.
La auditoría de sistemas de gestión integrados (SGI) es una tarea minuciosa que requiere destreza y conocimientos específicos; se requieren varias competencias que permiten al auditor llevar a cabo la auditoría con precisión y eficacia. Así como un conjunto único de habilidades para garantizar que todos los aspectos del sistema funcionen de manera efectiva y comprensión profunda.
A continuación, se presentan algunas de las competencias clave que se necesitan para auditar un SGI:
1. Conocimiento del sistema de gestión: Es importante tener un conocimiento profundo del SGI que se va a auditar, incluyendo los estándares y requisitos relevantes.
Esto incluye conocer las normas ISO 9001 (calidad), ISO 14001 (medio ambiente) y OHSAS 18001 o ISO 45001 (seguridad y salud ocupacional), entre otras.
2. Habilidades de comunicación: El auditor debe ser capaz de comunicarse de manera clara y efectiva con el personal de la organización, incluyendo a los gerentes y empleados que participan en el SGI. Además, ser capaz de documentar sus hallazgos de manera objetiva, clara y precisa.
3. Habilidades de análisis: El auditor debe ser capaz de analizar la información y los datos recopilados durante la auditoría para identificar posibles hallazgos, problemas y áreas de mejora en el SGI.
4. Evaluación objetiva e imparcial: El auditor debe tener una mente crítica y estar dispuesto a cuestionar los procesos y procedimientos de la organización. Además, tener la capacidad de analizar la información y tomar decisiones informadas basadas en hechos.
5. Habilidades de resolución de problemas: Cuando se identifican problemas durante la ejecución de la auditoría del SGI, el auditor debe ser capaz de proponer soluciones prácticas y efectivas para abordarlos.
6. Conocimientos técnicos: adicional al conocimiento del SGI, el auditor también debe tener conocimientos técnicos relevantes en áreas específicas, como la seguridad y salud ocupacional o la gestión ambiental y el marco legal aplicable al sector que pertenezca la organización.
En resumen, cuando se trata de auditar un SGI, es crucial contar con ciertas competencias y habilidades que permitan realizar una auditoría efectiva.
Bibliografía:
ISO 19011:2018- Directrices para la auditoría de los sistemas de gestión.
Una vez más, la Organización Internacional de Normalización presentó los resultados de la encuesta “ISO Survey”, donde se recaba el número de certificados en sistemas de gestión, válidos alrededor del mundo.
Para recolectar la información, ISO se contacta con organismos de certificación acreditados por miembros del Foro Internacional de Acreditación (IAF).
Un Sistema de Gestión Integrado (SGI) es un marco integral que combina múltiples sistemas de gestión en un sistema único y cohesivo conformado por conjuntos de normas tales como ISO 9001, ISO14001 o ISO 45000, asimismo, por procesos y procedimientos que permiten a una organización gestionar de forma eficaz sus aspectos ambientales, de calidad, de seguridad y salud ocupacional, entre otros.
Para verificar el cumplimiento y la eficacia de un Sistema de Gestión Integrado (SGI), es necesario realizar una auditoría interna y externa de forma periódica que evalúe el grado de conformidad con los requisitos establecidos.
Auditar un SGI es un proceso que garantiza que el sistema esté funcionando de manera efectiva y eficiente.
A continuación, describiremos los pasos involucrados en la auditoría de un SGI:
Comprensión y definición del alcance y objetivos.
Planificación de la auditoría.
Realización de la auditoría.
Presentación del informe.
Seguimiento de los hallazgos de la auditoría.
Comprensión, definición del alcance y objetivos
Antes de realizar una auditoría es esencial comprender el alcance y los objetivos de la auditoría. Esto implica identificar cómo está conformada la organización en términos de departamentos y funciones a auditar, con el fin de establecer los criterios de auditoría y los objetivos.
Definir el alcance y los objetivos de la auditoría: se debe establecer qué procesos, áreas o funciones se van a auditar, así como los criterios y normas de referencia que se aplicarán.
También se debe definir el propósito y el resultado esperado de la auditoría, así como los recursos y el tiempo disponible.
Los criterios de auditoría deben incluir requisitos legales y estándares de la industria, así como cualquier requisito específico de la organización.
Por ejemplo, en una empresa manufacturera que ha implementado un SGI, el alcance de la auditoría puede incluir los procesos de producción, control de calidad y gestión ambiental.
Los criterios de auditoría pueden incluir las normas ISO 9001 (gestión de la calidad), ISO 14001 (gestión ambiental) e ISO 45001 (gestión de la seguridad y salud en el trabajo).
Los objetivos de la auditoría pueden contener cumplimiento de los requisitos a los estándares a auditar, normas legales aplicables a la industria/sector y documentación del SGI.
Planificación de la auditoría
Una vez establecido y comprendido el punto anterior, se debe elaborar un plan de auditoría que incluya:
Agenda (días y horarios).
Equipo auditor.
Procesos para auditar.
En la medida de lo posible las personas a entrevistar.
Métodos y herramientas para utilizar.
Los posibles riesgos y las oportunidades para considerar de la auditoría (antes, durante y después).
Los criterios de evaluación y de informe.
Realización la auditoría
Esto implica preparar una lista de verificación, realizar entrevistas con personal clave, revisar la documentación y observar procesos y actividades para verificar el cumplimiento de los criterios de auditoría.
Por ejemplo, durante una auditoría SGI, el auditor puede entrevistar al gerente de calidad para comprender cómo la organización garantiza el cumplimiento de los requisitos de la norma ISO 9001.
El auditor también puede revisar documentos como manuales y procedimientos de calidad para verificar el cumplimiento.
Además, el auditor puede observar el proceso de producción para garantizar que la organización cumpla con los requisitos de la norma ISO 14001.
Presentación del informe
Después de completar la auditoría, el auditor debe preparar un informe de auditoría que refleje los hallazgos, las conclusiones y las recomendaciones de la auditoría. El informe debe ser claro, conciso, objetivo y basado en evidencias. Este debe ser comunicado a las partes interesadas pertinentes y en la medida de lo posible recibir retroalimentación.
Por ejemplo, después de realizar una auditoría, el auditor puede recomendar utilizar herramientas de calidad para que la organización implemente un plan de acción correctiva para abordar las no conformidades identificadas en la auditoría.
Seguimiento de los hallazgos de auditoria
Una vez con concluida la auditoría, se debe hacer un seguimiento de la implementación y la verificación de las acciones correctivas derivadas de esta.
El personal auditado puede presentar un plan de acción correctiva en el que se incluya las acciones, cronogramas y responsabilidades específicas para abordar las no conformidades, lo anterior, debe comunicarse a las partes interesadas relevantes y monitorear el progreso para garantizar que las no conformidades se aborden de manera efectiva.
Para ello, el auditor líder debe evaluar la eficacia y el impacto de las acciones correctivas en el sistema de gestión integrado y cerrar la auditoría cuando se hayan resuelto satisfactoriamente todas las no conformidades.
En conclusión, auditar un SGI es un proceso minucioso que garantiza que el sistema esté funcionando de manera efectiva y eficiente.
Los pasos involucrados en la auditoría de un SGI incluyen comprender el alcance, los objetivos de la auditoría, realizar la auditoría e informar y dar seguimiento a los hallazgos de la auditoría.
Siguiendo estos pasos, las organizaciones pueden asegurarse de que su SGI cumpla con los requisitos legales y los estándares de la industria, e identificar áreas de mejora para mejorar su desempeño general.
Bibliografía:
ISO 19011:2018- Directrices para la auditoría de los sistemas de gestión.
La inocuidad de los alimentos y la cadena de suministro son dos términos muy importantes en la entrega de alimentos a los clientes, que, aunque no son los únicos factores que se tienen que considerar en la gestión, se tendrá que hacer un análisis de cada uno y ver de qué manera se puede establecer una relación entre ellos.
Una cadena de suministro es una red de toda la estructura de lo que se tiene, es decir, es una red que lleva sus materiales desde la extracción, pasando por varias etapas de transformación, una vez que se obtienen los productos terminados, estos productos terminados se van a llevar a las redes de distribución y estas redes de distribución van a tener a sus mayoristas, a sus minoristas, hasta llegar al consumidor final.
La Ley de Modernización de la Seguridad Alimentaria de la FDA de 2011 (FSMA) ordena a la Administración de Alimentos y Medicamentos de EE. UU. (FDA) como agencia reguladora de alimentos del Departamento de Salud y Servicios Humanos de EE. UU., para mejorar y proteger la salud pública, entre otras cosas, adoptando un enfoque moderno, preventivo y basado en el riesgo a la normativa de seguridad alimentaria, publicando el 17 de septiembre de 2015, la regla de las buenas prácticas de fabricación, análisis de peligros y controles preventivos basados en riesgos para alimentos para consumo humano, la cual indica que propietarios, operadores o agentes a cargo de una instalación que se dedica a fabricación/procesamiento, empaque o almacenamiento de alimentos para consumo humano o animal en los Estados Unidos, deben registrarse con la FDA, a menos que estén exentos bajo 21 CFR 1.226 del requisito de registro.
La regulación que lleva por título “21. Alimentos y medicamentos; Capítulo I—administración de alimentos y medicamentos departamento de salud y servicios humanos; Subcapítulo b – alimentos para el consumo humano, parte 117 buenas prácticas de fabricación actuales, análisis de peligros y controles preventivos basados en riesgos para alimentos humanos”, se divide en siete subpartes:
Subparte A – Disposiciones Generales.
Subparte B – Buenas prácticas de fabricación actuales.
Subparte C – Análisis de peligros y controles preventivos basados en riesgos.
Subparte D – Requisitos modificados.
Subparte E – Retiro de una exención de instalación calificada.
Subparte F – Requisitos que se aplican a los registros que deben establecerse y mantenerse.
Subparte G – Programa de cadena de suministro.
En este articulo veremos el requisito clave Subparte G y sus puntos desglosados para un programa de cadena de suministro, el cual nos indica que las instalaciones deben establecer e implementar un programa de cadena de suministro basado en el riesgo para materias primas, materiales y otros ingredientes para los cuales se ha controlado un peligro antes de su recepción, en otras palabras, es un control aplicado en la cadena de suministro.
Requisitos Subparte G – Programa de cadena de suministro:
405 – Requisito para establecer e implementar un programa de cadena de suministro.
En este punto se requiere que la instalación receptora establezca y ejecute un programa de cadena de suministro basado en el riesgo, con la excepción de ciertas situaciones. Este programa, que debe estar por escrito, está diseñado específicamente para abordar las materias primas y otros ingredientes que la instalación receptora haya identificado como peligroso y que requieren medidas de control en la cadena de suministro.
Una instalación receptora que actúa como importador, que cumple con los requisitos del programa de verificación de proveedores extranjeros y tiene documentación de las actividades de verificación realizadas no está obligada a realizar actividades de verificación de proveedores para esa materia prima u otro ingrediente.
Los requisitos de esta subparte no se aplican a los alimentos que se suministran para fines de investigación o evaluación, siempre que dichos alimentos:
No estén destinados a la venta al por menor y no se vendan ni distribuyen al público.
Que se encuentren etiquetados con la declaración «Alimento para uso en investigación o evaluación».
Que se suministre en una pequeña cantidad que sea consistente con un propósito de investigación, análisis o control de calidad, el alimento se use solo para este propósito y cualquier cantidad no utilizada se elimine adecuadamente.
Que se acompañe de documentos, que establezcan que el alimento se utilizará con fines de investigación o evaluación y no se podrá vender ni distribuir al público.
Cuando una entidad que no sea el proveedor de la instalación receptora aplica un control a la cadena de suministro, la instalación receptora debe:
Verificar que el control aplicado en la cadena de suministro sea correcto y obtener la documentación de una actividad de verificación apropiada de otra entidad; revisar y evaluar la documentación aplicable de la entidad y documentar esa revisión y evaluación.
410 – Requisitos generales aplicables a un programa de cadena de suministro.
El programa de la cadena de suministro debe incluir:
Proveedores aprobados.
Determinar las actividades de verificación de proveedores apropiadas, incluida la determinación de la frecuencia de realización de la actividad.
Llevar a cabo actividades de verificación de proveedores.
Documentar las actividades de verificación de proveedores.
Cuando corresponda, verificar un control aplicado a la cadena de suministro por una entidad que no sea el proveedor de la instalación receptora y documentar esa verificación y obtener documentación de una actividad de verificación apropiada de otra entidad, revisar y evaluar esa documentación y documentar la revisión y evaluación.
Algunas de las actividades apropiadas de verificación de proveedores para materias primas y otros ingredientes son: la realización de auditorías in situ; el muestreo y análisis de la materia prima u otro ingrediente; revisión de los registros de seguridad alimentaria pertinentes del proveedor; verificación de proveedores apropiadas basadas en el desempeño del proveedor y el riesgo asociado con la materia prima u otro ingrediente.
Al aprobar proveedores y determinar las actividades de verificación de proveedores y la frecuencia con la que se llevan a cabo, se debe considerar lo siguiente:
Un análisis de peligros del alimento, incluida la naturaleza del peligro controlado antes de recibir la materia prima u otro ingrediente, que la entidad o entidades que aplicarán los controles para los peligros tengan un control aplicado en la cadena de suministro; y realizar la evaluación de desempeño del proveedor.
415 – Responsabilidades de la instalación receptora.
La instalación receptora debe aprobar a los proveedores, debe realizar actividades de verificación de proveedores apropiadas y cumplir con todos los requisitos de documentación de esta subparte.
Una entidad que no sea la instalación receptora puede hacer cualquiera de lo siguiente, siempre y cuando la instalación receptora revise y evalúe la documentación aplicable de la entidad como por ejemplo procedimientos de recepción de materias primas, determinar y realizar las actividades de verificación de proveedores apropiadas, con la documentación adecuada.
A los efectos de esta subparte, una instalación receptora no puede aceptar ninguna de las siguientes actividades como verificación del proveedor; cuando exista una auditoría realizada por su propio proveedor; una revisión por parte de su proveedor de los propios registros pertinentes de inocuidad alimentaria de ese proveedor, la realización por parte de su proveedor de otras actividades de verificación.
Los requisitos de esta sección no prohíben que una instalación receptora confíe en una auditoría proporcionada por su proveedor cuando la auditoría del proveedor fue realizada por un auditor externo calificado.
420 – Uso de proveedores aprobados.
La aprobación de proveedores la emite la instalación receptora de acuerdo con los requisitos de 117.410. Los procedimientos para recibir materias primas y otros ingredientes se deben establecer y seguir para garantizar que las materias primas y otros ingredientes se reciban solo de proveedores aprobados y a su vez se debe documentar el uso de los procedimientos escritos para recibir materias primas y otros ingredientes.
425 – Determinación de las actividades de verificación de proveedores adecuadas incluida la determinación de la frecuencia de realización de la actividad.
Las actividades de verificación de proveedores apropiados incluida la frecuencia de realización de la actividad deben determinarse de acuerdo con los requisitos mencionados en el punto 117.410.
430 – Realización de actividades de verificación de proveedores de materias primas y otros ingredientes.
Una o más de las actividades de verificación de proveedores especificadas en 117.410, deben realizarse para cada proveedor antes de usar la materia prima u otro ingrediente de ese proveedor y periódicamente a partir de entonces es cuando el peligro en una materia prima u otro ingrediente sea controlado por el proveedor y exista una probabilidad razonable de que la exposición al peligro resulte en graves consecuencias adversas para la salud o la muerte de los seres humanos, cuando la actividad de verificación de proveedores es adecuada y se compruebe con la ayuda de una auditoría in situ del proveedor; la auditoría debe realizarse antes de utilizar la materia prima u otro ingrediente del proveedor y al menos una vez al año a partir de entonces. Dicho lo anterior no debe haber conflictos de intereses financieros que influyan en los resultados de las actividades de verificación y el pago no debe estar relacionado con los resultados de la actividad.
435 – Auditoría in situ.
Una auditoría in situ de un proveedor debe ser realizada por un auditor calificado. Si la materia prima u otro ingrediente en el proveedor está sujeto a una o más reglamentaciones de inocuidad alimentaria de la FDA, una auditoría in situ debe considerar dichas reglamentaciones e incluir una revisión del plan escrito del proveedor, por ejemplo, un plan de análisis de peligros y puntos críticos de control (HACCP) u otro plan de inocuidad alimentaria.
Para un proveedor extranjero, los resultados escritos serán validos cuando la inspección realizada por la FDA o por la autoridad de inocuidad de los alimentos de un país cuyo sistema de inocuidad de los alimentos haya sido reconocida oficialmente por la FDA como comparable o haya determinado que es equivalente al de los Estados Unidos.
Si la auditoría in situ se lleva a cabo únicamente para cumplir con los requisitos de esta subparte por un agente de auditoría de un organismo de certificación que está acreditado de acuerdo con las reglamentaciones de la subparte M, la auditoría no está sujeta a los requisitos de dichas reglamentaciones.
475 – Registros que documentan el programa de la cadena de suministro.
Los registros que documentan el programa de la cadena de suministro están sujetos a los requisitos de la subparte F.
La instalación receptora debe revisar los registros y documentarlos, teniendo como evidencia los registros según corresponda a su programa de cadena de suministro.
La documentación empleada en un programa de cadena de suministro es la siguiente:
Documentación de la aprobación de un proveedor.
Documentación de la realización de una auditoría in situ.
Documentación de muestreo y pruebas realizadas como una actividad de verificación de proveedores.
Documentación de la revisión de los registros de inocuidad alimentaria pertinentes del proveedor.
Documentación de otras actividades de verificación de proveedores apropiadas basadas en el desempeño del proveedor y el riesgo asociado con la materia prima u otro ingrediente.
Documentación de cualquier determinación de que las actividades de verificación que no sea una auditoría in situ y/o una auditoría in situ menos frecuente de un proveedor, brindando una garantía adecuada de que los peligros están controlados.
Documentación de una actividad de verificación alternativa para un proveedor.
Documentación de las acciones tomadas con respecto al incumplimiento del proveedor.
Documentación de verificación de un control aplicado a la cadena de suministro aplicado por una entidad que no sea el proveedor de la instalación receptora.
Documentación de la revisión y evaluación de la instalación receptora.
Resultados del muestreo y las pruebas realizadas por el proveedor.
Resultados de una auditoría realizada por un auditor externo calificado.
Documentación aplicable, de una entidad que no sea la instalación receptora, de las actividades de verificación cuando una entidad que no sea el proveedor de la instalación receptora aplica un control a la cadena de suministro.
La gestión de la cadena de suministro tiene que hacer un balance entre lo que la normatividad exige y lo que el cliente requiere para poder al final tener rentabilidad, las características que le van a dar valor al cliente, lo que le cuesta al consumidor, la calidad considerando la inocuidad, la velocidad con la que se entregue, la confiabilidad y la flexibilidad. A partir de ahí, se podrá ver qué es la cadena de suministro y cuál es su valor e importancia dentro de la industria alimentaria.
Desde finales del siglo XVIII la producción y comercialización de alimentos comenzó a regularse tras la transformación que la Revolución industrial comenzaba a generar; hoy en día, la globalización en la producción de alimentos y comercialización en todos los mercados internacionales, exigen estrategias de vigilancia que permitan identificar y retirar alimentos que puedan presentar un riesgo potencialmente importante o grave para la salud pública.
Estas estrategias deben dar respuesta a situaciones de emergencia que involucren a la inocuidad de los alimentos y garantizar al consumidor el derecho de recibir alimentos inocuos, libres de algún agente físico, químico o biológico que ponga en riesgo su salud, ya sea causando daño, enfermedad o hasta la muerte.
De ahí la importancia de implementar y mantener un control preventivo como estrategia para realizar un retiro de mercado “recall” de aquellos productos alimenticios que no cumplen con las especificaciones o que representan un riesgo para la salud del consumidor.
La industria alimentaria de EE.UU ha generado una mayor experiencia de la estrategia de “recall” y que gracias al trabajo en conjunto con las autoridades competentes en regulación de alimentos se han aplicado.
En este blog estaremos abordando el plan de retiro desde la directriz CFR 117.139 como control preventivo basado en riesgo.
Plan de retiro:
Existen dos tipos de “recall”, el voluntario que lleva a cabo el fabricante o proveedor de forma autónoma ante la detección de cualquier defecto en el producto durante la inspección y el “recall” obligatorio que se aplica cuando una autoridad o agencia gubernamental, por sus facultades legales, identifica cualquier defecto o violación de la ley y obliga a una empresa o proveedor a realizar un retiro.
Para iniciar un plan de retiro de mercado, es importante conocer toda la historia del producto, es decir, tener un programa de trazabilidad que permita identificar, el canal de distribución y el mercado destino del producto.
Además de la trazabilidad, es importante considerar la gestión de los riesgos que se define en el Códex Alimentarius y que pueden ser detectados a partir de: denuncias, información de incidentes a nivel internacional y resultados adversos de una muestra recolectada por la autoridad oficial.
Se deberá evaluar la gravedad relativa del peligro para la salud, de las consecuencias inmediatas o a largo plazo y de la capacidad de identificar y cuantificar el producto defectuoso en el mercado.
Como resultado de esta identificación de riesgos se determina y asigna la clase de “recall” que permita tomar las decisiones correctas de retiro, ya sea a nivel del consumidor, de los minoristas, mayoristas y de distribución del fabricante.
Tabla 1. Clases de Recall
Clasificación
Descripción
Acción
Clase 1
Situación de riesgo para la salud donde existe una probabilidad razonable de que el uso del producto cause consecuencias adversas graves a la salud o la muerte.
Retirar a nivel del consumidor; Preparar comunicado de prensa; Designar portavoz; Realizar comprobación de eficacia.
Clase 2
Situación de peligro para la salud donde existe una probabilidad remota de consecuencias adversas para la salud por la utilización del producto.
Retiro a nivel minorista.
Clase 3
Situación donde el uso del producto no causa consecuencias adversas para la salud.
Retiro a nivel mayorista.
Debe establecer un plan de retiro por escrito para el alimento.
Las organizaciones deberán de tener un procedimiento cuente con los siguientes factores:
Resultados de la evaluación de riesgos para la salud.
Facilidad en la identificación del producto.
Grado en que la deficiencia del producto es evidente para el consumidor o usuario.
Grado en que el producto permanece sin uso en el mercado.
Disponibilidad continua de productos esenciales.
La evaluación del peligro deberá de realizarse para varios segmentos de la población, por ejemplo, niños, pacientes, ancianos, bebes, etc., que se espera que estén expuestos al producto que se está considerando, prestando especial atención al peligro para aquellas personas de mayor riesgo.
Se deberá tener un equipo “recall” para realizar la evaluación del peligro y riesgos del producto que se está retirando del mercado o que se está considerando retirar.
(b) El plan de retiro por escrito debe incluir procedimientos que describan los pasos a seguir, y asigne la responsabilidad de tomar esos pasos, para realizar las siguientes acciones según corresponda a la instalación:
(1) Notificar directamente a los destinatarios directos del alimento que se está retirando, incluida la forma de devolver o desechar el alimento afectado.
En términos generales, el propósito de una comunicación de retirada es transmitir que el producto en cuestión está sujeto a un retiro del mercado.
Que la distribución o uso posterior de cualquier producto restante debe cesar de inmediato.
El vendedor deberá notificar a sus clientes que recibieron el producto
Instrucciones sobre qué hacer con el producto.
En la notificación debe incluir:
Nombre del producto (incluir nombre de marca y nombre genérico)
Imagen del producto
Descripción del producto (polvo, líquido, tabletas, etc)
Fecha de caducidad
Tipo de empaque, etiqueta.
Se deberá explicar de manera concisa el motivo del retiro y el peligro involucrado, la comunicación debe ser breve y al punto.
La comunicación de retiro puede realizarse mediante correos o cartas marcadas. La carta y el sobre también deben estar marcados: “urgente” para retiros de clase I y clase II y, cuando corresponda, para retiros de clase III. Las llamadas telefónicas u otros contactos personales normalmente deben confirmarse mediante uno de los métodos anteriores y/o documentarse de manera adecuada.
(2) Notificar al público sobre cualquier peligro presentado por el alimento cuando sea apropiado para proteger la salud pública.
El propósito de una advertencia pública es alertar al público de que un producto retirado presenta un peligro grave para la salud. Está reservado para situaciones urgentes en las que otros medios para evitar el uso del producto retirado parezcan inadecuados. La Administración de Alimentos y Medicamentos (“Food and Drug Administration” o FDA por sus siglas en inglés), en consulta con la empresa que realiza el retiro, normalmente emitirá dicha publicidad. La estrategia de retiro especificará si se necesita una advertencia pública y se emitirá como:
Advertencia al público en general a través de los medios de comunicación generales, ya sean nacionales o locales, según corresponda, o
Advertencia pública a través de medios de comunicación especializados, por ejemplo, prensa profesional o comercial, o a segmentos específicos de la población, como médicos, hospitales, etc.
(3) Realizar verificaciones de efectividad para verificar que se lleve a cabo el retiro del mercado.
El propósito de los controles de efectividad es verificar que todos los destinatarios hayan recibido una notificación sobre el retiro y hayan tomado las medidas apropiadas. El método para contactar a los consignatarios puede lograrse mediante visitas personales, llamadas telefónicas, cartas o una combinación de estas. Por lo general, la empresa que realiza el retiro será responsable de realizar controles de efectividad, pero la Administración de Alimentos y Medicamentos (FDA) ayudará en esta tarea cuando sea necesario y apropiado.
Nivel A—100 por ciento del número total de consignatarios a ser contactados;
Nivel B—Algún porcentaje del número total de consignatarios que se contactará, porcentaje que se determinará caso por caso, pero que sea superior al 10 por ciento e inferior al 100 por ciento del número total de consignatarios;
Nivel C: 10 por ciento del número total de consignatarios a contactar;
Nivel D—2 por ciento del número total de consignatarios a ser contactados; o
Nivel E: sin controles de eficacia.
(4) Desechar adecuadamente los alimentos retirados del mercado, por ejemplo, reprocesándolos, reprocesándolos, desviándolos a un uso que no presente un problema de seguridad o destruyendo los alimentos.
Debe de establecer las responsabilidades del personal que evalúa y toma decisión sobre el producto recuperado. Es importante generar los registros para evidenciar que el producto fue manejado de tal manera que no presente un peligro para la seguridad alimentaria y que la organización tiene bajo control los productos recuperados.
Para dar por finalizado un retiro del mercado la Administración de Alimentos y Medicamentos (FDA) deberá determinar que se han realizado todos los esfuerzos razonables para eliminar o corregir el producto de acuerdo con la estrategia del retiro, y que el producto sujeto al retiro del mercado ha sido eliminado y se ha hecho la disposición o corrección adecuada de acuerdo con el grado de peligro del producto retirado.
La oficina de distrito correspondiente de la Administración de Alimentos y Medicamentos (FDA) emitirá una notificación por escrito de que un retiro ha terminado a la empresa que realiza el retiro.
También la empresa que retira puede solicitar la finalización de su retiro presentando una solicitud por escrito a la Administración de Alimentos y Medicamentos (FDA) que indique que el retiro es efectivo de acuerdo con los criterios establecidos y acompañando la solicitud con el informe de estado de retiro más reciente y una descripción de la disposición del producto retirado.
Conclusión:
Se debe comprender que el plan de retiro es una estrategia que involucra la responsabilidad entre las autoridades sanitarias regulatorias y la industria alimentaria frente a los derechos de los consumidores por tener en su mesa productos inocuos. Por tal motivo al momento de documentar los procedimientos es importante considerar que este proceso deberá de operarse de manera rápida y decisiva para retirar del mercado alimentos no conformes.
Una no conformidad es una situación en la que aparece un fallo o un error en una empresa debido a que no se han ejecutado bien los procesos que se han establecido. Una no conformidad pone en riesgo la eficacia de las actividades, o bien, si en una auditoria se detecta una no conformidad, puede poner en riesgo la certificación.
De acuerdo con las normas ISO, una no conformidad es el incumplimiento a un requisito, por lo que cuando se trata de no conformidades detectadas en auditorias es necesario relacionar la no conformidad con el requisito que se está incumpliendo.
Independientemente del tipo de organización, hay no conformidades que son comunes durante las auditorias, conocer cuales son las más recurrentes podría ayudar a las organizaciones a realizar actividades para prevenir que esas fallas sean motivo de poner en riesgo los resultados esperados de la organización.
Aunque son muy variadas las no conformidades, a continuación, describiremos cuales son las 5 no conformidades mas recurrentes en las auditorias de la norma ISO 9001:2015, el orden en el que aquí se describen no representa que sean más o menos importantes una que otra:
Requisito 6.1 Acciones para abordar riesgos y oportunidades
Los incumplimientos relacionados a este requisito son:
Que en las organizaciones no se identifiquen los riesgos y oportunidades de todos los procesos.
No se considera el contexto de la organización ni las partes interesadas.
Que los riesgos y oportunidades no sean revisados y actualizados.
Que no se tomen acciones para atender los riesgos y oportunidades.
Esta no conformidad es muy común debido a que las organizaciones no han tenido la capacitación necesaria para la gestión de riesgos y la metodología utilizada no ha sido entendida, se suele tener deficiencias en su implementación y manejo.
Las respuestas más comunes de los auditados son:
Para este proceso no es necesario que se identifiquen los riesgos, todo está en control.
No hay cambios en los riesgos, no hay nuevos riesgos, no ha cambiado el nivel del riesgo.
Si la revisamos, pero no es necesario realizar cambios, no muestran datos o información confiable para confirmar el comentario.
Se identificó el riesgo, pero no es necesario tomar ninguna acción.
Requisito 7.1.4 Ambiente para la operación de los procesos
Los incumplimientos relacionados a este requisito son:
No tomar acciones para atender los riesgos psicosociales identificados (discriminación, acoso, estrés, entre otros).
No mantener las condiciones físicas apropiadas para la asegurar la eficaz operación de los procesos (iluminación, ruido, olores, temperatura, orden y limpieza, entre otros).
En las organizaciones no se ha dado la importancia necesaria al ambiente de trabajo, tanto para los factores físicos como para los psicosociales, a pesar de que ya hay requisitos legales relacionados, se considera que estos factores no tienen relación con la conformidad del producto o servicio que se ofrece.
Las respuestas más comunes de los auditados son:
Se aplicó la encuesta de clima laboral y apenas estamos planificando las acciones necesarias.
Aplicamos la encuesta de clima laboral y no hemos hecho el análisis de los resultados.
Las condiciones físicas del ambiente de trabajo no afectan a la conformidad del producto.
El orden y limpieza no son importantes en la conformidad del producto.
Requisito 7.1.3 Infraestructura
Los incumplimientos relacionados a este requisito son:
No cumplir con las actividades programadas de mantenimiento a la infraestructura.
No incluir a toda la infraestructura de la organización en el mantenimiento programado.
La infraestructura es un recurso indispensable para la operación, se suelen hacer programas de mantenimiento sin considerar todos los factores que podrían afectarlos y no se tiene la obligación de cumplirlos, a pesar de que se presentan paros frecuentes por fallas en maquinaria, equipos o instalaciones. El mantenimiento generalmente es correctivo.
Las respuestas más comunes de los auditados son:
No había tiempo para realizar el mantenimiento, la máquina estaba ocupada.
No había refacciones.
No consideramos que sea necesario incluir a las instalaciones en el programa.
Los equipos de transporte son arrendados por eso no están incluidos en el programa.
Sección 10, Mejora. Requisito 10.1 Generalidades
Los incumplimientos relacionados a este requisito son:
No implementar acciones ante el incumplimiento de objetivos.
No implementar acciones para aumentar la satisfacción del cliente.
Las organizaciones no aplican el principio de la mejora, se cumplen con ciertas funciones como implementar y medir objetivos, pero no se toman acciones para mejorar los resultados o bien se tienen resultados de la satisfacción del cliente y se presenta el resultado general y no se hace análisis detallado de los puntos evaluados.
Las respuestas más comunes de los auditados son:
Apenas es el primer mes que no se cumple el objetivo.
No se cumplió el objetivo, pero por muy poco.
Los clientes están satisfechos, se cumplió con la meta, aunque se tenga malos resultados en el tiempo de entrega.
Requisito 7.1.5 Recursos de seguimiento y medición
Los incumplimientos relacionados a este requisito son:
No cumplir con las actividades programadas de calibración o verificación.
No incluir algunos de los recursos de seguimiento y medición en los programas de calibración o verificación.
La empresa o personal que realiza las calibraciones y verificaciones no es competente.
Sucede algo similar que con la infraestructura, se elaboran programas de calibración y verificación, pero no se consideran los factores que influyen en su cumplimiento, desde los recursos necesarios, la competencia del personal, la frecuencia, entre otros.
Las respuestas más comunes de los auditados son:
El cliente no se ha quejado por el producto que recibió y lo medimos con ese equipo que le falta la calibración.
Ya solicité la calibración, pero el proveedor no ha venido por el equipo.
Apenas me autorizaron el presupuesto para la calibración.
La frecuencia de las no conformidades puede variar entre una organización y otra, pero este listado es el resultado de un análisis realizado con la intención de orientarlos para que de manera anticipada tomen las acciones necesarias y prevenir las no conformidades.
Día con día todas las organizaciones no importan si son pequeñas o grandes, se enfrentan a factores externos e internos que le quitan certeza a la posibilidad de alcanzar sus objetivos. Este efecto de falta de certeza es el riesgo, y es inherente a todas las actividades (Kevin W. Knight, 2009).
.
Es por ello, que se ha vuelto una necesidad constante de establecer estrategias para protegerse, gestionando riesgos y tomando decisiones. Estos factores pueden ser de cualquier tipo y representar riesgos tanto de procesos, fraudes internos y/o externos; financieros y/o económicos; tecnológicos y/o informáticos; humanos; prácticas comerciales; desastres naturales; en materias primas; calidad del producto y/o servicio, de trabajo o laborales; ambientales; sociales, logísticos; documentales; físicos y psicológicos; alimenticios; inseguridad y sabotaje; entre muchos otros.
.
Un marco de referencia para la gestión de estos riesgos es la norma ISO 31000:2018. Gestión del riesgo — Directrices, así como también la norma ISO/IEC 31010:2019 Gestión de riesgo – Técnicas de evaluación de riesgos. Estas normas recomiendan que las organizaciones desarrollen, implementen y mejoren continuamente un marco de trabajo o estructura de soporte, cuyo objetivo es integrar el proceso de gestión de riesgos la organización, la planificación y estrategia, los procesos, las políticas, los valores y cultura.
.
El proceso de la gestión del riesgo consiste en:
.
Definir el alcance de la gestión del riesgo: La organización debería definir el alcance de sus actividades de gestión del riesgo. .
Contexto externo e interno: La gestión del riesgo se debería establecer a partir de la comprensión de los entornos en los cuales opera la organización. .
Definir los criterios: La organización debería definir los criterios para valorar la importancia del riesgo y para apoyar los procesos de toma de decisiones. .
Evaluación del riesgo..
.
Identificación: Es el proceso con el que se descubren, reconocen y registran los riesgos. Se deberían identificar los riesgos, tanto si sus fuentes están o no bajo su control.
.
Análisis: Es comprender la naturaleza del riesgo y sus características. Implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia. Consiste en determinar las consecuencias y sus probabilidades, estas se combinan después para determinar un nivel de riesgo. Los métodos que se utilizan en el análisis de riesgos pueden ser cualitativos, semicuantitativos, o cuantitativos.
.
La apreciación cualitativa define las consecuencias, la probabilidad y el nivel de riesgo, indicando niveles tales como «alto», «medio» y «bajo».
Los métodos semicuantitativos utilizan escalas de valoración numéricas que pueden ser lineales o logarítmicas.
.
El análisis cuantitativo estima valores realistas para las consecuencias y sus probabilidades, y obtiene valores del nivel de riesgo en unidades específicas definidas cuando se desarrolla el contexto.
.
Evaluación: El propósito de la valoración del riesgo es apoyar a la toma de decisiones.
.
Tratamiento del riesgo: El propósito del tratamiento del riesgo es seleccionar e implementar opciones para abordar el riesgo.
.
Seleccionar opciones del tratamiento del riesgo: proceso destinado a modificar el riesgo. Que puede implicar: evitar el riesgo, decidiendo no iniciar o continuar con la actividad que motiva el riesgo; aceptar o aumentar el riesgo con objeto de buscar una oportunidad; eliminar la fuente de riesgo; cambiar la probabilidad o frecuencia de ocurrencia (diminuir); compartir en riesgo con otras u otras partes interesadas (incluyendo contratos o financiación del riesgo); y mantener el riesgo con base a una decisión informada.
.
Preparación e implementación de los planes. La información proporcionada en el plan del tratamiento debería incluir: el tratamiento del riesgo, incluyendo los beneficios esperados; las personas responsables; las acciones propuestas; los recursos necesarios, incluyendo las contingencias; las medidas del desempeño; las restricciones; los informes y seguimiento requeridos; los plazos previstos para la realización y la finalización de las acciones.
.
Seguimiento y revisión. Se deberían identificar específicamente los factores para que sean objeto de seguimiento y revisión, de manera que la apreciación del riesgo se pueda actualizar cuando sea necesario.
.
El análisis del riesgo se puede realizar con diferentes grados de profundidad y de detalle, y utilizando uno o varios métodos que varían desde simples a complejos. Esto dependerá de los objetivos del estudio, el tipo y la gama de riesgos que se analizan; la posible magnitud de las consecuencias; el grado de conocimientos técnicos, y de recursos humanos y de otros tipos que se necesitan; la disponibilidad de información y de datos; la necesidad de modificación/actualización de la apreciación del riesgo; todos los requisitos contractuales y reglamentarios; y si el método puede proporcionar un resultado cuantitativo.
.
A continuación, se enlistan las técnicas de análisis de riesgos:
.
Fuente: ISO/ IEC 31010:2019 Gestión de riesgo – Técnicas de evaluación de riesgos.
.
Se describen los más utilizados:
1. TORMENTA DE IDEAS.
La tormenta de ideas se puede utilizar conjuntamente con otros métodos de análisis del riesgo o como una técnica independiente para estimular pensamientos imaginativos en cualquier etapa del proceso de gestión del riesgo y en cualquier etapa del ciclo de vida de un sistema. Puede ser formal o informal. En la formal los participantes deben estar preparados con antelación, y la sesión tiene una finalidad y unos resultados definidos con un medio de evaluar ideas avanzadas. La tormenta de ideas informal es menos estructurada y con frecuencia está más destinada a un caso específico.
2. ENTREVISTAS ESTRUCTURADAS O SEMIESTRUCTURADAS.
Las entrevistas estructuradas y semiestructuradas son útiles cuando es difícil reunir a las personas para una sesión de tormenta de ideas o cuando un debate fluido en grupo no es apropiado para la situación o para las personas implicadas.
Estas entrevistas se utilizan frecuentemente para identificar riesgos o para apreciar la eficacia de los controles existentes como parte del análisis del riesgo. Se pueden realizar en cualquier etapa de un proyecto o proceso. Constituyen un medio de proporcionar una entrada para la apreciación del riesgo a las partes interesadas.
3. TÉCNICA DELPHI.
La técnica Delphi es un procedimiento para obtener un consenso fiable de la opinión de un grupo de expertos. Aunque el término se utiliza ahora ampliamente para significar alguna forma de tormenta de ideas, una característica esencial de la técnica Delphi, es que los expertos expresen sus opiniones de forma individual y anónima, mientras que el acceso a las opiniones de los otros expertos lo tengan a medida que el proceso avanzaba.
Se puede aplicar en cualquier etapa del proceso de gestión del riesgo o en cualquier fase del ciclo de vida de un sistema, dondequiera se necesite el consenso de las opiniones de los expertos. Mediante un cuestionario semiestructurado se realizan preguntas. Los expertos no se reúnen con objeto de que sus opiniones sean independientes.
4. LISTAS DE VERIFICACIÓN.
Las listas de verificación se pueden utilizar para identificar peligros y riesgos o para valorar la eficacia de los controles. También se pueden utilizar como parte de otras técnicas de apreciación del riesgo, pero son más útiles cuando se aplican para comprobar que se ha cubierto todo el sistema después de que se haya aplicado una técnica más imaginativa que identifique problemas nuevos.
5. ANÁLISIS PRELIMINAR DE PELIGROS (PHA)
Es el análisis que más se utiliza normalmente al comienzo del desarrollo de un proyecto, cuando se dispone de poca información. También puede ser útil cuando se analizan sistemas existentes, a fin de priorizar peligros y riesgos para análisis posteriores o cuando las circunstancias impiden aplicar una técnica más extensiva que la que se está utilizando.
Se formula una lista de peligros y situaciones peligrosas genéricas y de riesgos, teniendo en consideración características tales como: los materiales utilizados o producidos y la reactividad de estos; los equipos utilizados; el entorno ambiental de funcionamiento; la disposición de conjunto; las interfaces entre componentes del sistema, etc. Con objeto de identificar riesgos para la posterior apreciación de estos, se puede realizar un análisis cualitativo de las consecuencias de un suceso no deseado y de sus probabilidades de que ocurra.
El PHA se debería actualizar con objeto de detectar cualquier nuevo peligro. Los resultados obtenidos se pueden presentar en diferentes formas, tales como tablas y diagramas en árbol.
6. HAZOP (ANÁLISIS DE RIESGOS Y DE OPERATIVIDAD).
HAZOP es el acrónimo del análisis de riesgos (HAZard) y de operatividad (OPerability), que consiste en un examen estructurado y sistemático de un producto, proceso, procedimiento o sistema existente o planificado. Para identificar riesgos para las personas, los equipos, el entorno y/o los objetivos de la organización. Normalmente lo realiza un grupo de trabajo multidisciplinar durante una serie de reuniones. El HAZOP es similar al AMEF (análisis del modo de fallo y del efecto) en cuanto a que identifica los modos de fallo. Difiere en cuanto a que el grupo de trabajo tiene en consideración los resultados no deseados y las desviaciones con respecto a los resultados previstos, y las condiciones y los trabajos se repiten para localizar las causas posibles y los modos de fallo, mientras que el FMEA comienza identificando los modos de fallo.
***Normas de consulta: IEC 61882, Estudios de peligros y de operatividad (estudios HAZOP). Guía de aplicación.
7. ANÁLISIS DE PELIGROS Y PUNTOS CRÍTICOS DE CONTROL (HACCP).
El HACCP proporciona una estructura para la identificación de los riesgos y para establecer controles en todas las partes importantes de un proceso, a fin de protegerlo contra los riesgos y de mantener la fiabilidad y la seguridad de la calidad de un producto.
Tiene por objeto asegurar que los riesgos se minimizan mediante controles a lo largo de todo el proceso, mejor que con una inspección del producto final. Se inicia a partir de un diagrama de proceso y de la información sobre los peligros que podrían afectar a la calidad, seguridad o fiabilidad de los resultados del producto o proceso.
El análisis HACCP está constituido siete principios: identificar los peligros y las medidas preventivas; determinar los puntos del proceso donde los peligros se pueden controlar o eliminar; Determinar los puntos críticos de control (PCC); establecer un límite o límites críticos; sistema de vigilancia del control de los PCC; medidas correctivas que han de adoptarse cuando la vigilancia indica que un determinado PCC no está controlado; procedimientos de comprobación para confirmar que el Sistema funciona eficazmente; y sistema de documentación.
***Normas de consulta: ISO 22000, Sistemas de gestión de la inocuidad de los alimentos. Requisitos para cualquier organización en la cadena alimentaria/ NOM-251-SSA1-2009, Prácticas de higiene para el proceso de alimentos, bebidas o suplementos alimenticios.
8. APRECIACIÓN DE LA TOXICIDAD.
Este proceso se utiliza para apreciar los riesgos en plantas, animales y personas, como consecuencia de la exposición a peligros tales como los originados por productos químicos, microorganismos u otras especies. Este método requiere datos fiables sobre la naturaleza y las características de los peligros, la susceptibilidad del modelo de población (o de poblaciones), y la forma en que las dos reaccionan entre sí. Estos datos se basan normalmente en investigaciones que se realizan en laboratorio o se obtienen de estadísticas epidemiológicas.
El procedimiento es el siguiente: formulación del problema; identificación del peligro; análisis del peligro, esto implica la comprensión de la naturaleza del peligro y de cómo reacciona con el modelo de población; análisis de la exposición, se determina la manera y la cantidad en que una sustancia peligrosa o sus residuos podrían alcanzar a un modelo de población sensible; caracterización del riesgo, las informaciones obtenidas del análisis de los peligros y del análisis de la exposición se agrupan para estimar las probabilidades de que se produzcan consecuencias particulares.
9. TÉCNICA ESTRUCTURADA «y si…» (SWIFT).
La técnica SWIFT se desarrolló inicialmente como una alternativa más sencilla al estudio de riesgos y de operatividad (HAZOP). Esta técnica consiste en un estudio sistemático basado en el grupo de trabajo, donde se utiliza un conjunto de palabras o frases de «efecto inmediato» que utiliza el coordinador dentro de una reunión de trabajo para estimular a los participantes a que identifiquen riesgos.
El coordinador y el grupo de trabajo utilizan frases normalizadas del tipo «¿y si….?» combinadas con las indicaciones, para investigar cómo un sistema, un elemento de planta, una organización o un procedimiento resultará afectado por las desviaciones con respecto a las operaciones y al comportamiento normales.
La técnica SWIFT se aplica normalmente a más de un nivel de sistemas con un nivel de detalle más bajo que en el estudio HAZOP. Se utiliza para examinar las consecuencias de los cambios y de los riesgos alterados o creados.
10. ANÁLISIS DE ESCENARIOS.
El análisis de escenario es el nombre dado al desarrollo de modelos descriptivos de lo que podría ocurrir en el futuro. La estructura del análisis de escenario puede ser informal o formal. Una vez establecido el grupo de trabajo y los correspondientes canales de comunicación, así como definido el contexto del problema y los asuntos a considerar, el paso siguiente consiste en identificar la naturaleza de los cambios que podrían ocurrir: cambios externos; las decisiones que será necesario tomar en un futuro próximo, pero que pueden tener una variedad de resultados; las necesidades de las partes interesadas y la forma en que estas necesidades podrían cambiar; los cambios macro-ambientales (reglamentos, demográficos, etc.). Algunos serán inevitables y algunos serán inciertos.
Los factores o tendencias locales y macro se pueden ahora listar y jerarquizar por importancia (1) y por incertidumbre (2). Se presta especial atención a los factores que son más importantes e inciertos. Los factores o tendencias clave se delimitan unos con otros sobre un plano para mostrar las zonas donde se pueden desarrollar los escenarios. Se propone una serie de escenarios con cada uno enfocado a un cambio verosímil de parámetros.
11. ANÁLISIS DE LA CAUSA RAÍZ (RCA).
El análisis de una pérdida principal para impedir que vuelva a ocurrir se menciona como Análisis de la Causa Primordial (RCA), Análisis de fallo de la causa raíz (RCFA) o análisis de pérdida. Este análisis intenta identificar las causas raíz u originales en vez de tratar únicamente los síntomas inmediatamente obvios. Se reconoce que la acción correctora no siempre puede ser totalmente eficaz y que puede ser necesaria una mejora continua.
El análisis RCA se aplica en varios contextos con las siguientes amplias áreas de utilización: el RCA basado en la seguridad se utiliza en las investigaciones de accidentes y en las áreas de salud y seguridad ocupacional; el análisis de fallo se utiliza en sistemas tecnológicos relacionados con la fiabilidad y el mantenimiento; el RCA basado en la producción se aplica en el campo del control de la calidad dentro de la fabricación industrial; el RCA basado en el proceso está enfocado a procesos del negocio; el RCA basado en el sistema se ha desarrollado como una combinación de las áreas anteriores para tratar sistemas complejos con aplicación en la gestión de cambios, la gestión del riesgo y el análisis de sistemas.
12. ANÁLISIS DE LOS MODOS DE FALLO Y DE LOS EFECTOS (AMEF) Y ANÁLISIS DE LOS MODOS DE FALLOS Y DE LOS EFECTOS Y DE LA CRITICIDAD (AMFEC).
Existen varias aplicaciones del análisis AMEF: de diseño (o de producto) que se utiliza para componentes y productos, de sistema que se utiliza para sistemas, de proceso que se utiliza para la fabricación y de montaje, de servicios y de software. No obstante, para mejorar la confiabilidad, normalmente los cambios son más fáciles de implantar en la etapa de diseño.
El análisis AMEF y AMFEC se puede utilizar para: ayudar en la selección de alternativas de diseño con una alta confiabilidad; asegurar que se han considerado todos los modos de fallo de sistemas y procesos, y sus efectos sobre el éxito operacional; identificar los modos de errores humanos y sus efectos; disponer de una base para planificar los ensayos y el mantenimiento de sistemas físicos; mejorar el diseño de los procedimientos y procesos; proporcionar información cualitativa o cuantitativa de técnicas de análisis tales como el análisis de árbol de fallos. Pueden proporcionar entradas para otras técnicas de análisis tales como el análisis de árbol de fallos a nivel cualitativo o cuantitativo.
**Normas para consulta: IEC 60812, Técnicas de análisis de la fiabilidad de sistemas. Procedimiento de análisis de los modos de fallo y de sus efectos (AMFE).
13. ANÁLISIS DEL ÁRBOL DE FALLOS (FTA).
Un árbol de fallos se puede utilizar cualitativamente para identificar las causas potenciales y los caminos por los que se produce un fallo (el suceso superior), o cuantitativamente para calcular la probabilidad del suceso superior, proporcionando conocimiento de las probabilidades de los sucesos causales. Se puede utilizar en la etapa de diseño de un sistema para identificar las causas potenciales del fallo y, por tanto, para seleccionar entre opciones de diseño diferentes. Se puede utilizar en la fase de funcionamiento para identificar cómo se pueden producir los fallos principales, y la importancia relativa de los diferentes caminos que llevan al suceso superior.
Un árbol de fallos también se puede utilizar para analizar un fallo que ha ocurrido, con objeto de representar mediante un diagrama la forma en que sucesos diferentes se unieron para causar el fallo.
**Normas para consulta:IEC 61025, Análisis por árbol de fallos (AAF).
14. ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA).
El LOPA es un método semicuantitativo para estimar los riesgos asociados con un suceso o escenario no deseado. Sirve para analizar si existen suficientes medidas para controlar o mitigar el riesgo. El LOPA lo realiza un grupo de expertos donde se identifican las causas iniciadoras de una consecuencia no deseada y se buscan datos sobre sus frecuencias y consecuencias; se selecciona un par de causa-consecuencia; se identifican y analizan en cuanto a su eficacia las capas de protección que impiden la causa que da lugar a la consecuencia no deseada; se identifican las capas de protección independientes (IPLs) (no todas las capas de protección son IPLs); se estima la probabilidad de fallo de cada IPL; se combina la frecuencia de la causa iniciadora con las probabilidades de fallo de cada IPL, y las probabilidades de todos los modificadores condicionales para determinar la frecuencia de ocurrencia de la consecuencia no deseada. Para las frecuencias y las probabilidades se utilizan órdenes de magnitud; se compara el nivel de riesgo calculado con los niveles de tolerancia del riesgo para determinar si se requiere protección adicional.
**Normas para consulta: IEC 61508 (todas las partes), Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad/ IEC 61511, Seguridad funcional. Sistemas instrumentados de seguridad para el sector de la industria de procesos.
15. ANÁLISIS DEL ÁRBOL DE DECISIONES.
Un árbol de decisiones se utiliza para gestionar los riesgos del proyecto y en otras circunstancias para ayudar a seleccionar la mejor línea de conducta cuando existe incertidumbre. La presentación gráfica también puede ayudar a comunicar razones para tomar las decisiones. Un árbol de decisiones comienza con una decisión inicial, por ejemplo, proceder con el proyecto A en vez de con el proyecto B. Como los dos proyectos anteriores son hipotéticos, se producirán sucesos diferentes y será necesario tomar diferentes decisiones previsibles. Estas se presentan en formato de árbol, similar al árbol de sucesos.
16. ANÁLISIS DE PAJARITA.
El análisis de pajarita se utiliza para presentar un riesgo mostrando una gama de causas y consecuencias posibles. Se utiliza cuando la situación no justifica la complejidad de un análisis de árbol de fallos completo o cuando se trata más de asegurar que existe una barrera o control para cada camino de fallo. Este análisis es útil cuando existen caminos independientes y claros que tratan el fallo.
17. ÍNDICES DE RIESGO.
Los índices se pueden utilizar para clasificar riesgos diferentes asociados a una actividad cuando el sistema se entiende bien. Los índices de riesgo permiten la integración de una gama de factores que tienen un impacto sobre el nivel de riesgo en una única puntuación numérica del nivel de riesgo. Se utilizan para muchos tipos diferentes de riesgo, normalmente como un medio de definir el alcance de la clasificación del riesgo de acuerdo con el nivel de riesgo. Esto se puede utilizar para determinar los riesgos que necesitan una apreciación adicional en profundidad y posiblemente de tipo cuantitativa.
18. MATRIZ DE CONSECUENCIA/PROBABILIDAD.
La matriz de consecuencia/probabilidad se utiliza para jerarquizar riesgos, orígenes de riesgo y tratamientos del riesgo sobre la base del nivel de riesgo. Normalmente, se utiliza como una herramienta de filtrado cuando se han identificado muchos riesgos, por ejemplo, para definir cuáles son los riesgos que necesitan análisis adicionales o más detallados. Una forma de la matriz de consecuencia/probabilidad se utiliza en AMEF o para ajustar las prioridades después del HAZOP (estudios de peligros y de operatividad). También se puede utilizar en aquellas situaciones en que los datos sean insuficientes para un análisis detallado o la situación no garantice el tiempo y el esfuerzo para un análisis mas cuantitativo.
BIBLIOGRAFIA:
ISO 31000:2018. Gestión del riesgo — Directrices.
ISO IEC 31010:2019 Gestión de riesgo – Técnicas de evaluación de riesgos.
