ISO 31000 es la norma internacional que sirve como guía para el diseño, implementación y mantenimiento de la gestión de riesgos. Todos los tipos y tamaños de organizaciones, acogiendo las cláusulas de ISO 31000, logran afrontar factores e influencias internas y externas que hacen incierto su camino hacia el logro de objetivos.
El riesgo está involucrado en cualquier actividad de una organización y las cláusulas de ISO 31000 permiten crear un proceso lógico, mediante el cual, las organizaciones administran el riesgo al analizarlas y evaluarlas.
Por ello, en nuestra entrada de hoy, hablaremos de las tres cláusulas de ISO 31000 principales y sus requisitos. Nos referimos a las cláusulas 3, 4 y 5.
Principales cláusulas de ISO 31000
Cláusula 3:
Principios de Gestión de Riesgos
Los principios a los que hace referencia esta cláusula son requeridos para que la organización obtenga una gestión de riesgos efectiva. Estos implican que la gestión de riesgos:
- Genera y protege el valor.
- Es una parte integral de todos los procesos organizacionales.
- Es parte de la toma de decisiones.
- Aborda la incertidumbre de forma explícita.
- Es sistemática, estructurada y oportuna.
- Se basa en la mejor información disponible.
- Tiene en cuenta los factores humanos y culturales.
- Es transparente e inclusiva.
- Es dinámica, iterativa y sensible al cambio.
- Promueve la mejora continua de la organización y sus sistemas de gestión.
Cláusula 4:
Marco
ISO 31000 establece que el éxito de la gestión de riesgos depende de la eficacia del marco de gestión. Esto es porque el marco proporciona las bases y los ajustes que permiten incorporar dicha gestión en todas las áreas y todos los niveles de la organización. Principalmente, esto lo hace con las siguientes acciones:
- Asiste en la gestión efectiva de riesgos.
- Garantiza que la información sobre los riesgos, derivada del proceso de gestión de riesgos, sea informada de forma adecuada.
- Garantiza que esta información sea utilizada como base para la toma de decisiones y la asignación de responsabilidades, en todos los niveles organizacionales relevantes.
Esta cláusula describe los componentes del marco necesarios para la gestión del riesgo y la forma en que se interrelacionan de manera iterativa.
Liderazgo y compromiso
La Alta Dirección de la organización necesita demostrar un compromiso sólido y sostenido con la gestión de riesgos. Por ello, se han de definir una política y unos objetivos, asegurando el cumplimiento de las normativas gubernamentales, y comunicando los beneficios de la gestión de riesgos a todas las partes interesadas.
Diseño del marco para la gestión de riesgos
Antes de la implementación, la organización debe diseñar un marco adecuado para la gestión de riesgos. Esto incluye:
- La comprensión de la organización y su contexto.
- El establecimiento de la política de gestión de riesgos.
- Asegurar la responsabilidad, la autoridad y la competencia apropiada para la gestión de riesgos.
- La integración de la gestión de riesgos en los procesos organizacionales.
- La asignación de los recursos apropiados.
- El establecimiento de mecanismos internos y externos de comunicación y reporte.
Implementación de la gestión de riesgos
La organización debe establecer el marco e implementar los procesos necesarios para la gestión de riesgos. Se trata de un punto esencial para que la gestión de riesgos se materialice.
Monitoreo y revisión del marco
Este proceso es requerido para asegurar la efectividad de la gestión de riesgos. Para llevarla a cabo, la organización debe medir el rendimiento del sistema, el progreso y revisar si el marco, la política y el plan siguen siendo apropiados para garantizar la efectividad de la gestión.
Mejora continua
Basados en los resultados del monitoreo y revisión, se deben tomar decisiones sobre el marco de gestión, la política y el plan, tendientes a obtener la mejora continua.
Evaluación de riesgos
Es el proceso general de identificación de riesgos. La organización debe identificar las fuentes de riesgo, las áreas de impacto, los eventos catastróficos, sus causas y sus posibles consecuencias, así se debe llevar a cabo:
- Análisis de riesgos: implica la identificación y comprensión del riesgo, considerando sus causas y su fuente, así como sus efectos positivos y negativos, la probabilidad de ocurrencia, sus consecuencias y las estrategias de tratamiento más adecuadas (eliminar, aceptar, compartir, mitigar…).
- Evaluación de riesgos: tiene por objeto ayudar en la toma de decisiones sobre los riesgos que requieren tratamiento y prioridad en la implementación de ese tratamiento.
Tratamiento de riesgos
Las opciones de tratamiento de riesgos deben seleccionarse en función del resultado de la evaluación de riesgos y el coste esperado para implementar esas opciones.
Monitoreo y revisión de la gestión de riesgos
El monitoreo y la verificación pueden ser periódicos o de acuerdo con los cambios que presenten los factores internos y externos. Debe constituir una labor planificada dentro del proceso general de gestión de riegos.
Registro del proceso de gestión de riesgos
La gestión de riesgos debe ser rastreable. Esto significa que se debe registrar, y que estos registros tienen que proporcionar la base para la mejora en los métodos y las herramientas utilizadas, así como en el sistema en general.
Cláusula 5:
Proceso
Las cláusulas de ISO 31000 establecen que el éxito de la gestión de riesgos depende de la eficacia del proceso. El proceso de gestión de riesgos debe ser:
- Parte integral de la gestión.
- Estar incrustado en la cultura y las prácticas de la organización.
- Estar adaptado a los procesos de negocios de la organización.
El proceso de gestión de riesgos comprende las siguientes actividades:
- Comunicación y consulta: con partes interesadas internas y externas, durante todas las etapas de la gestión de riesgos.
- Establecer el contexto: la organización articula sus objetivos, define los parámetros externos e internos necesarios para llevar a cabo la gestión de riesgos, y establece el alcance y los criterios de riesgo para el resto del proceso.
Curso ISO 31000:2018 Gestión de Riesgos
El programa ISO 31000:2018 Gestión de Riesgos permite conocer los diferentes niveles de riesgos y oportunidades que encuentra una organización mientras cumple con sus objetivos de negocio.
Este curso aborda con profundidad todas las cláusulas de ISO 31000, los requisitos de la norma y la forma en que se puede alcanzar la conformidad. Consiga una plaza inscribiéndose aquí.