Texto: Ing. Felipe Alejandro Hernández Lozano
La norma ISO/IEC 17025: 2017 / NMX-EC-17025-IMNC-2018, presenta cambios importantes respecto a la versión anterior; estos cambios van desde contar con una nueva estructura alineada con otras normas como la ISO 9001:2015, un mayor enfoque en las tecnologías de la información considerando el uso de sistemas informáticos, registros electrónicos y la producción de resultados e informes digitales, así como incorporar lo referente al pensamiento basado en riesgos y el establecimiento de la regla de decisión, siendo estos dos últimos cambios los que más inquietud han generado entre los laboratorios para su implementación.
En esta ocasión abordaremos el Pensamiento basado en Riesgos y la Gestión de Riesgos, revisaremos los requisitos normativos que se deben cumplir en este tema, así como algunas normas que cuentan con modelos
para su atención y presentaremos una propuesta que facilite a los laboratorios determinar, analizar y evaluar sus
riesgos.
La gestión de riesgos puede ser implementada de distintas formas, por ello es importante que los laboratorios apliquen métodos que se adapten a sus necesidades para que cuenten con una herramienta preventiva y de
mejora y no una pesadilla que dificulte su operación.
Definiciones relacionadas con el riesgo.
Al empezar a utilizar la ISO/IEC 17025: 2017, hemos empezado a utilizar nuevos conceptos que es muy importante definir, estos son: Riesgo, el Pensamiento basado en Riesgos y la Gestión de Riesgos. A continuación,
definiremos esos términos:
• Riesgo.
La norma NMX-CC-9000-IMNC-2015, lo define como “Efecto de la incertidumbre”, considerando una definición más amplia podemos definirlo como “la posibilidad de que algo suceda y genere un daño o impacto”, por ello para calcularlo se multiplica la probabilidad de que ocurra por el impacto que generaría.
Riesgo = Probabilidad x Impacto.
• Pensamiento basado en Riesgos
Siempre existe el riesgo de que las cosas no salgan como se planearon, por ello el pensamiento basado en riesgos permite a los laboratorios tener un enfoque preventivo que les permita determinar qué factores podrían causar que sus procesos y/o su Sistema de Gestión de la Calidad no se puedan ejecutar adecuadamente y por ello no se logren los resultados esperados. Este enfoque permite tomar las medidas necesarias para minimizar los efectos negativos y aprovechar las oportunidades que surjan.
• Gestión del Riesgo
De acuerdo con la norma ISO 31000, este término se refiera a las actividades coordinadas para dirigir y controlar una organización con respecto al Riesgo, en otras palabras, como maneja el laboratorio sus riegos.
Una vez definidos los conceptos relacionados con el riesgo, podemos continuar con los requisitos normativos que deben cumplir los laboratorios.
Requisitos normativos que deben cumplirse
En el punto “8.5 Acciones para abordar los riesgos y oportunidades” de la norma ISO/IEC 17025: 2017 y de los Criterios de aplicación de la norma ISO/IEC 17025 de la Entidad Mexicana de Acreditación (aplicable a
laboratorios acreditados) se definen los requisitos que deben ser cubiertos en este tema, los cuales son:
• ISO/IEC 17025: 2017
“8.5 Acciones para abordar riesgos y oportunidades
8.5.1 El laboratorio debe considerar los riesgos y las oportunidades asociados con las actividades del laboratorio para:
a) asegurar que el sistema de gestión logre sus resultados previstos;
b) mejorar las oportunidades de lograr el propósito y los objetivos del laboratorio;
c) prevenir o reducir los impactos indeseados y los incumplimientos potenciales en las actividades
del laboratorio;
d) lograr la mejora.
8.5.2 El laboratorio debe planificar:
a) las acciones para abordar estos riesgos y oportunidades;
b) la manera de:
— integrar e implementar estas acciones en su sistema de gestión;
— evaluar la eficacia de estas acciones.”
• Criterios de aplicación de la norma ISO/IEC 17025
“8.5.1 El laboratorio debe documentar en su sistema de gestión la forma en que realiza el análisis de riesgos y la forma cómo dará seguimiento a las acciones para minimizar los riesgos.”
Para poder cumplir con los requisitos de la ISO/IEC 17025: 2017 y de los Criterios de aplicación de la Entidad Mexicana de Acreditación (EMA), es necesario documentar la forma como se realizará el análisis de los riesgos
asociados a las actividades (procesos) de laboratorio, así como la determinación de las acciones que minimicen el riesgo, el seguimiento de éstas y como evaluamos su eficacia.
La forma como se da cumplimento a los requisitos antes mencionados queda abierta a lo que decida el laboratorio, la norma sólo menciona que se pueden aplicar otras guías o normas, por lo que el Laboratorio podrá
cumplir con el requisito de una forma tan sencilla o complicada como lo determine.
Normas que consideran el análisis y atención de Riesgos
Dado que la norma ISO/IEC 17025: 2017 no define como abordar el tema de riesgos y sólo menciona que se pueden aplicar otras guía o normas, la mayoría de las empresas vio la solución lógica en utilizar las normas ISO
31000, que son la familia de normas elaboradas por ISO (International Organization for Standardization) para la gestión de riesgos, sin embargo este tema también es abordado por la norma ISO 10006:2017, ambas presentan un modelo de procesos para el análisis, evaluación y seguimiento de los riesgos. A continuación se presentan ambos modelos.
• Proceso de gestión de riesgos de la norma ISO 31000:2018
Esta norma define un proceso para la gestión de riesgos, el cual inicia con la evaluación del riego que toma en cuenta el alcance, criterios y el contexto que se tenga definido; divide el proceso en 3 etapas, la primera es la
identificación del riesgo, la segunda corresponde a su análisis y la última se enfoca en su valoración. Como resultado de estas tres etapas se determina el tratamiento que se aplicará al riesgo, el cual se registra y comunica
para su aplicación. Este proceso se ilustra en la siguiente figura.
Aunque el proceso se presenta frecuentemente como secuencial, en la práctica es iterativo y puede aplicarse a nivel estratégico, operacional, de programa o de proyecto.
La norma ISO 31010, proporciona directrices para la selección y aplicación de técnicas para la evaluación de riesgos, presenta 31 distintas técnicas que podría ser aplicadas.
• Proceso relacionado con el riesgo de la norma ISO 10006:2017
Esta norma en el punto “7.7 Procesos relacionados con el riesgo” establece otro modelo en el cual se definen los procesos que tienen como objetivo minimizar el impacto de eventos potencialmente negativos y aprovechar las oportunidades de mejora e innovación relacionada. Este modelo se ejemplifica en el siguiente diagrama.
Este modelo es similar al descrito en la norma ISO 31000:2018, quizás en poco más sencillo de abordar.
Propuesta para llevar a cabo la Gestión de Riesgos en los Laboratorios
Como ya se mencionó, para poder cumplir con los requisitos definidos en la norma la ISO/IEC 17025: 2017 y en los Criterios de aplicación de la Entidad Mexicana de Acreditación (EMA), en el tema de riesgos, es necesario documentar la forma como se realizará el análisis de los riesgos asociados a las actividades (procesos) del laboratorio, así como la determinación de las acciones que los minimicen, el seguimiento de éstas y evaluar su eficacia, para cumplir con lo antes mencionado, se propone utilizar el modelo que se presenta en el siguiente esquema para llevar a cabo la gestión de los riesgos.
• Paso 1. Identificación de Riesgos y Oportunidades
En la Gestión de Riesgos el punto de partida es la identificación de estos, así como las oportunidades que se tienen. Para llevar a cabo esta identificación es importante considerar los riesgos de imparcialidad y asociados
con la regla de decisión (requisito definido por la ISO/IEC 17025: 2017), así como los vinculados a los procesos de operación del laboratorio (Muestro, Traslado de las muestras, Recepción, Ensayo, Elaboración de Informe y
disposición de la muestra ensayadas).
