Tras su aprobación por los organismos miembros de ISO, el Grupo de Trabajo de la Junta de Gestión Técnica de ISO sobre gestión de riesgos publicó la norma ISO 31000:2009, Gestión de riesgos – Principios y directrices, en noviembre de 2009. Los autores diseñaron la norma para que fuera aplicable a cualquier organización y a cualquier tipo de riesgo, pero, a diferencia de las conocidas normas de calidad ISO, la ISO 31000 no es certificable. Este artículo tratará sobre la estructura y los elementos clave de la Gestión de Riesgos ISO 31000.
Para quienes estén familiarizados con la norma AS/NZS 4360:2004 sobre gestión de riesgos, esta norma ISO debería ser fácilmente reconocible. Si tu organización adoptó la norma AS/NZS, la transición a la ISO 31000 debería ser relativamente sencilla. Además, el documento auxiliar, Risk Management Guidelines Companion to AS/NZS 4360:2004, ofrece orientación sobre el diseño y la aplicación de técnicas de evaluación y gestión de riesgos. Del mismo modo, ISO/IEC 31010:2009 es el documento auxiliar que respalda la nueva norma ISO 31000.
Para quienes no estén familiarizados con la norma AS/NZS, o para quienes no estén familiarizados con un proceso de gestión de riesgos formal y estructurado, el resto de este artículo tratará sobre la estructura y los elementos clave de la ISO 31000.
Los dos componentes principales del proceso de gestión de riesgos de la ISO 31000 son:
- El Marco, que orienta la estructura general y el funcionamiento de la gestión de riesgos en toda la organización; y
- El Proceso, que describe el método real de identificar, analizar y tratar los riesgos.
Marco El Marco ISO 31000 refleja el ciclo planificar, hacer, comprobar, actuar (PDCA), que es común a todos los diseños de sistemas de gestión. Sin embargo, la norma afirma que «Este Marco no pretende prescribir un sistema de gestión, sino ayudar a la organización a integrar la gestión de riesgos en su sistema de gestión general». Esta afirmación debería animar a las organizaciones a ser flexibles a la hora de incorporar elementos del marco según sea necesario.
Los principales elementos del Marco son
- Política y Gobernanza Proporciona el mandato y demuestra el compromiso de la organización
- Diseño del programa Diseño del Marco general para gestionar el riesgo de forma continuada
- Implantación Implantación de la estructura y el programa de gestión de riesgos
- Seguimiento y revisión Supervisión de la estructura y el rendimiento del sistema de gestión
- Mejora continua Mejoras en el rendimiento del sistema de gestión global
Las organizaciones, sobre todo las que no están familiarizadas previamente con los sistemas de gestión, deben prepararse para dedicar un tiempo considerable a establecer un marco sólido y evitar el impulso de sumergirse directamente en el proceso de evaluación de riesgos. El diseño del proceso es un paso importante porque el Marco proporciona la estabilidad y la continuidad necesarias para ayudar a establecer un programa, en lugar de limitarse a ejecutar un proyecto.
Los elementos clave que las organizaciones no deben pasar por alto incluyen:
- Establecer el compromiso de la dirección tanto durante la ejecución como a largo plazo, incluyendo:
- Desarrollo y aprobación de una política formal
- Identificación y asignación de los recursos necesarios, incluidos la experiencia y el presupuesto suficientes para mantener el programa.
- Establecimiento de un ciclo de revisión regular para mantener la visibilidad del programa ante la dirección y motivar a todos los participantes
- Desarrollar un programa que funcione dentro de la organización, su cultura y su entorno, incluyendo:
- Comprender las fuerzas externas: tendencias del sector, requisitos normativos y expectativas de las principales partes interesadas externas
- Comprender las fuerzas internas: la gobernanza, la estructura organizativa, la cultura y las capacidades organizativas existentes.
El grado en que una organización considere e implemente cualquiera de estos elementos depende del propósito y las necesidades de la organización. El objetivo es un programa visible, adecuadamente equipado, compatible con la cultura y los objetivos de la organización y sostenible a largo plazo.
Proceso Tras establecer el Marco de gestión de riesgos, una organización está preparada para desarrollar el Proceso. El Proceso, tal y como lo define la ISO 31000, es «multipaso e iterativo; diseñado para identificar y analizar los riesgos en el contexto organizativo».
Los principales elementos del Proceso, como se ve en el diagrama siguiente, incluyen:
- Comunicación activa
- Comunicación y consulta con todas las partes interesadas
- Ejecución del proceso
- Establecer el contexto
- Identificación de riesgos
- Análisis de riesgos
- Evaluación de riesgos
- Tratamiento del riesgo
- Supervisión
- Al igual que en el Marco, se requiere un seguimiento y una revisión periódicos
Como se indica en el diagrama anterior, la primera y la tercera actividades deben producirse regularmente durante el Proceso de evaluación de riesgos. Al principio del Proceso, la comunicación regular es fundamental para comprender los intereses y preocupaciones de las partes interesadas, validando así el enfoque del Proceso. En etapas posteriores, la comunicación periódica ayuda a transmitir los fundamentos de las decisiones y por qué la organización necesita determinados tratamientos del riesgo. Además, la supervisión periódica garantiza que la organización aborde los cambios en el entorno y los procesos de riesgo y que los controles funcionen eficazmente. En conjunto, estas actividades garantizan que todas las partes interesadas comprendan claramente las expectativas y que la organización aborde los cambios lo antes posible.
El proceso real de evaluación de riesgos requiere en primer lugar la definición de lo que la ISO 31000 denomina el «contexto». El contexto es una combinación de los entornos externo e interno, ambos vistos en relación con los objetivos y estrategias de la organización. El proceso de definición del contexto comienza durante la fase del Marco con el examen de los entornos interno y externo de la organización, pero la dirección debe continuar aquí esta evaluación con mayor detalle y centrarse en el alcance del Proceso de gestión de riesgos concreto.
Los pasos restantes de la evaluación implican el desarrollo de técnicas para identificar, analizar y evaluar riesgos específicos. Aunque existen múltiples métodos y técnicas documentados, todos deben incluir los siguientes elementos clave:
- Identificación de riesgos
- Identificación de las fuentes de un riesgo concreto, áreas de impacto y sucesos potenciales, incluidas sus causas y consecuencias.
- Clasificación de la fuente como interna o externa
- Análisis de riesgos
- Identificación de las consecuencias potenciales y de los factores que afectan a las consecuencias
- Evaluación de la probabilidad
- Identificación y evaluación de los controles existentes
- Evaluación de riesgos
- Comparación de los riesgos identificados con los criterios rick establecidos
- Decisiones tomadas para tratar o aceptar riesgos teniendo en cuenta los requisitos internos, legales, reglamentarios y de las partes externas
Los interesados en cada una de las técnicas y métodos de evaluación de riesgos deben consultar la norma ISO/IEC 31010, el documento auxiliar de apoyo mencionado anteriormente. Hay que tener en cuenta que la complejidad de los métodos y el alcance del análisis necesario dependen en gran medida de la naturaleza de la organización, por lo que la dirección debe consultar a todas las partes interesadas a la hora de desarrollar un enfoque adecuado.
En general, la dirección debe desarrollar y aplicar tratamientos de riesgo para reducir los riesgos residuales a niveles aceptables para las partes interesadas clave y supervisar/ajustar para garantizar la eficiencia y la eficacia.
Relación con ASIS SPC.1-2009 y la Continuidad Empresarial La publicación de la norma ISO 31000 y de la norma ASIS SPC.1 sobre Riesgos Organizativos tan cerca la una de la otra planteó varias preguntas. Dado que ambas se basan en sistemas de gestión, ¿debería el sector considerarlas equivalentes o intercambiables? ¿Cómo se relacionan con la continuidad empresarial? Y ¿cuál de ellas es una base sólida para la Gestión del Riesgo Empresarial (ERM)?
Aunque ambas normas aprovechan los procesos de los sistemas de gestión y describen una estructura de procesos similar, la SPC.1 presenta un alcance algo más limitado, definiendo la Resiliencia Organizativa en términos de seguridad, preparación y continuidad, mientras que la ISO 31000 mantiene un enfoque más amplio, quizá más estratégico.
En cuanto a la continuidad empresarial, es sólo uno de los muchos tratamientos de riesgos que comprendería un programa de gestión de riesgos más estratégico propugnado por la norma ISO 31000. En consecuencia, la continuidad empresarial debe considerarse un subcomponente del programa de gestión de riesgos descrito en la norma ISO 31000, ya que aborda un riesgo específico (disponibilidad de procesos, recursos y tecnología).
Conclusiones En general, los principios y procesos de gestión de riesgos descritos en la norma ISO 31000 y respaldados por las directrices de la norma ISO/IEC 31010 proporcionan un sistema sólido que permite a una organización diseñar e implantar un programa repetible, proactivo y estratégico. El diseño de los elementos específicos del programa depende en gran medida de los objetivos, los recursos y las circunstancias de cada organización. Independientemente del nivel de implantación, la participación de la dirección en el establecimiento de la dirección y en la revisión periódica de los resultados debe formar parte de cada programa, lo que no sólo elevará la gestión del riesgo, sino que también garantizará un tratamiento adecuado del riesgo basado en los objetivos organizativos y las estrategias a largo plazo.
