ISO 31000 - Gestión holística de riesgos en las organizaciones

La ISO 31000 es una norma internacional publicada en 2009 que proporciona los principios y directrices para una gestión de riesgos eficaz en las organizaciones. Además, describe un enfoque genérico de la gestión de riesgos, que puede aplicarse a diferentes tipos de riesgos (financieros, de seguridad, riesgos del proyecto, etc.) y utilizado por cualquier tipo de organización. La ISO 31000 proporciona un vocabulario y conceptos uniformes para discutir la gestión de riesgos. Proporciona pautas y principios que pueden ayudar a realizar una revisión crítica del proceso de gestión de riesgos de su organización.

La ISO 3100 incluye, definiciones y términos relevantes para la gestión de riesgos, un conjunto de principios de gestión eficaz de riesgos, recomendaciones para establecer un marco de gestión de riesgos y recomendaciones para establecer un proceso de gestión de riesgos.

Es evidente la importancia de una gestión de riesgos eficaz a nivel interno de una organización cuando hablamos de Ingeniería RAMS con un foco claro hacia la gestión de riesgos de seguridad. 

La normativa incluye una serie de principios que la gestión de riesgos de la organización siempre debe tener en cuenta:

1. su objetivo es crear y protege el valor que aporta la organización a sus clientes, trabajadores y a la sociedad en conjunto,
2. una parte importante de la misma se basa en la mejora de la información entre las partes,
3. es una parte relevante de los procesos organizacionales de la organización,
4. está hecho a medida para cada organización. Por tanto y poniendo un ejemplo lógico, no es lo mismo una gestión interna de riesgos para un Banco que para una Administración Ferroviaria,
5. es utilizada en la toma de decisiones corporativas,
6.  tiene en cuenta factores humanos y culturales,
7.  aborda explícitamente la incertidumbre,
8.  es transparente e inclusiva,
9. es sistemático, estructurado y oportuno,
10. es dinámico, iterativo y receptivo al cambio,
11. facilita la mejora continua de la organización

La norma no proporciona instrucciones o requisitos detallados sobre cómo gestionar riesgos específicos, ni ningún consejo relacionado con un dominio de aplicación específico; permanece a un nivel genérico.

En relación con los estándares más antiguos sobre gestión de riesgos, el estándar 31000 innova en varias áreas:

• Proporciona una nueva definición de riesgo como el efecto de la incertidumbre sobre la posibilidad de lograr los objetivos de la organización, destacando la importancia de definir objetivos antes de intentar controlar los riesgos y enfatizando el papel de la incertidumbre.
• Introduce la noción (a veces controvertida) de apetito por el riesgo, o el nivel de riesgo que la organización acepta asumir a cambio del valor esperado.

Concepto de "apetito por el riesgo"

El apetito por el riesgo se define como la cantidad y el tipo de riesgo que una organización está dispuesta a perseguir, retener o asumir para lograr sus objetivos. Representa un equilibrio entre los beneficios potenciales de la innovación (y el riesgo) y las amenazas que inevitablemente trae el cambio. Ayuda a guiar a las personas dentro de la organización sobre el nivel de riesgo permitido y fomenta la coherencia del enfoque en toda la organización. Generalmente expresado (para una empresa) mediante una declaración de enfoque amplia:

• define un marco de gestión de riesgos con diferentes procedimientos organizativos, roles y responsabilidades en la gestión de riesgos
• describe una filosofía de gestión en la que la gestión de riesgos se considera una parte integral de la toma de decisiones estratégicas y la gestión del cambio

Un estándar no estrictamente certificable

Muchas normas ISO son certificables: un certificado de un organismo de evaluación de la conformidad acreditado que indique que sus actividades en un perímetro específico se ajustan a la norma. Por ejemplo: muchas organizaciones certifican su sistema de gestión de calidad según la norma iso 9001. La norma 31000 proporciona orientación en lugar de requisitos, por lo que "no está destinada a fines de certificación". De todos modos, algunos de nuestros clientes una vez implantada las recomendaciones de la ISO 31000, nos solicitan una certificación tipo 3th party checked para poder dar evidencias a sus clientes y otros stakeholders del cumplimiento de las recomendaciones dictadas por la norma.   

El proceso de la gestión de riesgos en detalle

El proceso de la gestión de riesgo, según la ISO 31000 implica la aplicación continua y organizada del políticas, procedimientos y acciones siguiendo el siguiente diagrama, siendo la gestión del riesgo una parte relevante de la gestión y la toma de decisiones de la empresa desde un punto de vista de la dirección.

• Identificación de riesgos: identificar qué podría impedirnos alcanzar nuestros objetivos.
• Análisis de riesgos: comprensión de las fuentes y causas de los riesgos identificados; estudiar probabilidades y consecuencias dados los controles existentes, para identificar el nivel de riesgo residual.
• Valoración de riesgos: comparar los resultados del análisis de riesgos con los criterios de riesgo para determinar si el riesgo residual es tolerable.
• Tratamiento de riesgos: cambiar la magnitud y probabilidad de las consecuencias, tanto positivas como negativas, para lograr un aumento neto del beneficio.
• Establecimiento del contexto (Alcance, Contexto y Criterios): Esta actividad consiste en definir el alcance del proceso de gestión de riesgos, definir los objetivos de la organización y establecer los criterios de evaluación de riesgos. El contexto comprende tanto elementos externos (entorno regulatorio, condiciones de mercado, expectativas de las partes interesadas) como elementos internos (gobierno de la organización, cultura, normas y reglas de la organización, capacidades, contratos existentes, expectativas de los trabajadores, sistemas de información, etc.). 

• Seguimiento y revisión: esta tarea consiste en medir el desempeño de la gestión de riesgos contra indicadores, que se revisan periódicamente para verificar su idoneidad. Implica verificar las desviaciones del plan de gestión de riesgos, verificar si el marco, la política y el plan de gestión de riesgos siguen siendo apropiados, dado el contexto externo e interno de la organización, informar sobre el riesgo, el progreso con el plan de gestión de riesgos y qué tan bien la política de gestión de riesgos se está siguiendo y revisando la eficacia del marco de gestión de riesgos.
• Comunicación y consulta: Esta tarea ayuda a comprender los intereses y preocupaciones de las partes interesadas y comprobar que el proceso de gestión de riesgos se centra en los elementos correctos y también ayuda a explicar el fundamento de las decisiones y las opciones de tratamiento de riesgos particulares. La comunicación y consulta pretende, por tanto, reunir diferentes áreas de experiencia para cada etapa del proceso; asegurar que se consideren de manera apropiada los diferentes puntos de vista a la hora de establecer los criterios y valoración de los riesgos; proporcionar suficiente información para facilitar la supervisión del riesgo y la toma de decisiones; generar un sentimiento de inclusión por las partes afectadas.

En Leedeo Engineering, somos especialistas dando soporte a nuestros clientes cualquier nivel requerido a las tareas RAMS y de gestión de riegos, incluida la implantación de la ISO31000. No dude en contactar con nosotros >>