Implementación ISO 31000
Algunas organizaciones – cada vez más —, están estudiando e iniciando procesos para la implementación ISO 31000, norma que está en la fase final de su revisión y actualización.
¿Cómo funciona el proceso de gestión de riesgos?, ¿cuáles son los pasos a seguir para la implementación ISO 31000? Aunque el proceso tiene algunas similitudes con OHSAS 18001, lo cierto es que es preciso seguir los pasos específicos que indican las cláusulas de la norma.
Hoy compartimos esos pasos, indicando la cláusula de ISO 31000 en donde se hace referencia a ella. Veamos:
Comunicación y consulta (5.2)
La consulta a las partes interesadas, tanto externas como internas, es fundamental en un proceso de gestión de riesgos basado en ISO 31000. Este debe ser tenido en cuenta en todas las fases: durante el establecimiento de los criterios de riesgo, en la identificación, la evaluación y el tratamiento de riesgos durante la ocurrencia de un siniestro.
En todo momento, es necesario que la organización cuente con técnicas y herramientas adecuadas para la comunicación y la consulta a las partes interesadas. Uno de los principios de la gestión de riesgos es que el proceso debe formar parte de todos los procesos organizativos, para que el sistema resulte eficaz.
La comunicación y consulta debe ser planificadas desde la etapa inicial.
Establecimiento del contexto (5.3)
Aquí se definen los criterios para la gestión de riesgos y el alcance de la misma, así como las áreas y los sectores involucrados. El contexto debe ser dividido en contexto interno y externo, en relación con la organización.
En el contexto interno, la organización debe analizar su estructura organizativa, responsabilidades, procesos, sistemas de información, el diálogo y las relaciones con las partes interesadas internas.
En el contexto externo, cuestiones como el marco legal, los ambientes legales, sociales, culturales, políticos, financieros, tecnológicos y económicos, entre otros, deben ser evaluados, así como la relación con partes interesadas externas, su percepción y sus valores.
Identificación de Riesgos (5.4.2)
En esta fase, un conjunto de riesgos debe ser identificado. El objetivo es generar una lista exhaustiva de riesgos que tienen la capacidad de reducir, retrasar, impedir o impulsar (si se trata de oportunidades) la consecución de los objetivos.
Un riesgo no identificado en este paso, obviamente, no será incluido en análisis posteriores, por lo que será importante prestar gran atención a este análisis. La tendencia es que las organizaciones, con el paso del tiempo, incrementen esta lista con nuevas fuentes de riesgo. Este paso es de mejora continua.
Análisis de riesgos (5.4.3)
El análisis de riesgos proporciona una compresión de los riesgos a los que está expuesta la organización. Implica la apreciación de las causas y fuentes de riesgos, sus consecuencias positivas y negativas y, también, la posibilidad de que estas consecuencias puedan ocurrir.
En este paso, la organización deba analizar todos los riesgos identificados en el paso anterior, verificando cuáles son las consecuencias y probabilidades de ocurrencia de los riesgos. Esto será el insumo para continuar con el proceso en el paso siguiente.
De acuerdo con la norma ISO 31000, el análisis de riesgos puede ser realizado con diversos grados de detalle, dependiendo del riesgo, de la finalidad del análisis y de las informaciones, datos y recursos disponibles.
Dependiendo de la circunstancia, el análisis puede ser cualitativo, semicuantitativo, cuantitativo, o una combinación de estas. Las organizaciones de menor tamaño, con menos recursos tecnológicos, tendrán mayores dificultades para conducir un análisis cuantitativo de los riesgos. Pero esto no impide que el proceso de implementación ISO 31000 entregue resultados satisfactorios.
Evaluación de riesgos (5.4.4)
En ese paso decidimos qué riesgos necesitan tratamiento, cuáles son prioritarios, cuáles podemos compartir, cuáles podemos eliminar y con cuáles tendremos que convivir a diario, previniendo su impacto negativo.
La evaluación de riesgos implica comparar el nivel de riesgo encontrado dentro del proceso de análisis con los criterios de riesgo establecidos cuando el contexto fue considerado.
Tratamiento de riesgos (5.5)
Según la norma ISO 31000, el tratamiento de riesgos implica la selección de una o más opciones para modificarlos y, una vez implementado el tratamiento, disponer de nuevos controles que permitan modificar las opciones elegidas.
Generalmente, las opciones pueden ser las siguientes:
- Reducción de la probabilidad de ocurrencia.
- Evitar el riesgo, eliminando el proceso o la actividad que lo genera.
- Eliminación del origen o la fuente.
- Aumentar su impacto, cuando se trata de una oportunidad (riesgo positivo).
- Compartirlos (aseguradora).
- Minimizar su impacto.
- Retenerlo, como una decisión consciente.
- Monitoreo y análisis (5.6).
La mejora continua debe estar presente a lo largo de toda la labor de gestión de riesgos. La implementación ISO 31000 hace que los riesgos puedan ser alterados, que existan nuevas exposiciones para la organización incrementando la lista de riesgos, o que aparezcan nuevas oportunidades.
Igualmente, el contexto interno o externo puede sufrir alteraciones. La organización puede crear indicadores para que el proceso de gestión de riesgos permita identificar puntos de mejoría en cada medición.
Si está interesado en conocer más información acerca de la implementación ISO 31000 y la correcta gestión de los riesgos, puede acceder a nuestro Curso Online ISO 31000 Gestión de Riesgos Corporativos. Puede consultar sus convocatorias aquí.
Así mismo puede acceder a nuestra sección de Oferta Formativa donde encontrará información sobre nuestros cursos y talleres relacionados con los estándares ISO y con el contexto de la estrategia de riesgo.