ISO 31000
La norma ISO 31000 comienza con una introducción en la que define el riesgo del siguiente modo:
“Las organizaciones de todo tipo y tamaño enfrentan factores e influencias, internas y externas, que crean incertidumbre sobre si ellas lograrán o no sus objetivos. El efecto que esta incertidumbre tiene en los objetivos de una organización es el “riesgo””.
Las organizaciones realizan diariamente una serie de actividades, todas ellas implican un riesgo. Para gestionar el riesgo, las organizaciones deben identificar, analizar y evaluar el mismo para decidir si modificarlo mediante un tratamiento del mismo para satisfacer sus criterios.
Las organizaciones se comunican a través de este proceso, también consultan con las partes interesadas, monitorean y revisan el riesgo y los controles que lo están cambiando para asegurar que no será necesario aplicar un tratamiento de riesgo adicional.
La norma ISO 31000 describe el proceso sistemático mencionado en detalle.
Normalmente, las organizaciones gestionan el riesgo de alguna forma, la norma ISO 31000 establece un número de principios necesarios para conseguir una gestión de riesgos eficaz.
ISO 31000 recomienda que las organizaciones desarrollen, implementen y mejoren de forma continua un marco de referencia cuyo propósito sea integrar el proceso para la gestión del riesgo en los procesos y cultura de la organización.
La gestión del riesgo se puede aplicar a cualquier organización, en todas las áreas y niveles, funciones, proyectos y actividades. No obstante, en algunos sectores han adoptado procesos consistentes dentro de un marco de referencia que les ayuda a garantizar la gestión eficaz del riesgo, de forma eficiente y coherente.
El enfoque genérico descrito en ISO 31000 aporta los principios y directrices para gestionar cualquier forma de riesgo, en el contexto que sea.
Una característica clave de ISO 31000 es la inclusión del establecimiento del contexto como una actividad al inicio del proceso de gestión del riesgo. El establecimiento del contexto ayuda a fijar los objetivos de la organización, el entorno en que se persiguen dichos objetivos, sus partes interesadas y los criterios de riesgo.
La suma de este conjunto de elementos ayudará a identificar y evaluar la naturaleza y complejidad de los riesgos.
Cuando la gestión del riesgo se implementa y se mantiene según la norma ISO 31000, la organización puede:
- Aumentar la probabilidad de lograr sus objetivos.
- Fomentar la proactividad en su gestión.
- Ser consciente de la importancia de identificar y tratar los riesgos en la totalidad de la organización.
- Cumplir con los requisitos legales y reglamentarios de aplicación.
- Mejorar la gobernanza.
- Mejorar la confianza con las partes interesadas.
- Establecer una base consistente para tomar decisiones.
- Mejorar los controles.
- Asignar y usar de forma eficaz los recursos para el tratamiento del riesgo.
- Mejorar la eficacia y eficiencia operativa.
- Aumentar la protección ambiental, de la salud y la seguridad.
- Mejorar la gestión de incidentes.
- Mejorar el aprendizaje organizacional.
La norma ISO 31000 está orientada a satisfacer las necesidades de:
- Responsables del desarrollo de la política de gestión del riesgo en las organizaciones.
- Responsables de garantizar la gestión eficaz del riesgo en las organizaciones en sí, en un área, proyecto o actividad.
- Aquellos que necesitan evaluar la eficacia de una organización en lo que respecta a la gestión del riesgo.
- Aquellos que desarrollan normas, guías, procedimientos y códigos de práctica.
En un gran número de organizaciones, las prácticas y procesos para la gestión incluyen elementos de gestión de riesgos. Por otro lado, muchas organizaciones han adoptado un proceso formal para la gestión de riesgos, ya sean particulares o para circunstancias específicas.
ISO 31000 usa la expresión “gestión del riesgo” y “gestionar el riesgo”. La primera se refiere a la arquitectura para la gestión eficaz del riesgo, y la segunda a la aplicación de dicha arquitectura a riesgos particulares.
Objeto de la norma ISO 31000
La norma ISO 31000 ofrece los principios y directrices genéricas sobre la gestión del riesgo.
Puede ser utilizada por cualquier organización, ya sea pública o privada, por cualquier grupo o individuo. No es específica a ninguna industria o sector.
Por otro lado, se puede aplicar a lo largo de toda la vida de una organización y en un rango amplio de actividades, incluyendo decisiones, estrategias, operaciones, procesos, funciones, proyectos, productos y servicios.
En cuanto al tipo de riesgo, ISO 31000 se puede aplicar a cualquier riesgo, de cualquier naturaleza, ya tenga consecuencias negativas o positivas.
A pesar de que ISO 31000 aporta directrices genéricas, no pretende promover la uniformidad de la gestión de riesgos en todas las organizaciones.
Se pretende que ISO 31000 se use con objetivo de armonizar los procesos de la gestión del riesgo en las normas existentes y futuras. Aporta un enfoque común en apoyo de las normas que tratan con los riesgos.
ISO 31000 no es una norma certificable.
Si te interesa la gestión de riesgos, quizás te interese el curso Gestión de Riesgos Corporativos ISO 31000.