ISO 31000
La norma ISO 31000 es utilizada como una guía para la gestión de riesgos. Es una norma de aplicación internacional y voluntaria.
Según estadísticas, Colombia es uno de los países que más se preocupa por la gestión de riesgos y, que entre otras herramientas, hace uso de la norma ISO 31000.
El éxito de la gestión de riesgos va a depender de la eficacia de la herramienta que una organización utilice. ISO 31000 ayuda a la gestión de riesgos de forma efectiva mediante la aplicación del proceso de gestión de riesgos que propone en todos los niveles y contextos de la organización.
La información que se recoge del proceso de gestión de riesgos debe ser la base de la toma de decisiones y rendición de cuentas en todos los niveles de la organización.
La norma ISO 31000 no establece un sistema de gestión, sirve para ayudar a la organización a integrar la gestión de riesgos en su sistema de gestión global. Cada organización tendrá que adaptar los componentes de esta norma a sus necesidades particulares.
Por ejemplo, tengo delante un caso en el que para un centro comercial de Colombia se diseñaron 4 objetivos que fueron:
- Objetivo 1: Definir y desarrollar una metodología para identificar y controlar el cumplimiento de los requisitos legales aplicables al centro comercial.
- Objetivo 2: Determinar los procesos estratégicos, operacionales y de apoyo para el centro comercial.
- Objetivo 3: Aplicar el modelo de gestión del riesgo de ISO 31000 en cada proceso clave del centro comercial de Colombia.
- Objetivo 4: Presentar propuestas para el mantenimiento y mejora de la gestión de riesgos en el centro comercial, usando la norma ISO 22301 de “Gestión de continuidad del negocio”.
Si una organización ya tiene prácticas de gestión de riesgos o cuenta con un proceso formal de gestión de riesgos, deberá ser revisado y evaluado en contra de ISO 31000.
ISO 31000 y el compromiso de la organización
Sin el compromiso de la totalidad de la organización, la gestión del riesgo no quedaría asegurada ni sería una actividad eficaz. Para lograr el compromiso de todos los niveles de la organización, la alta dirección debería:
- Definir y aprobar una política de gestión de riesgos.
- Asegurar una correcta alineación entre la política de gestión de riesgos definida y la cultura de la organización.
- Identificar aquellos indicadores de gestión de riesgos que no cumplen y que están alineados con los indicadores de rendimiento de la organización.
- Alinear los objetivos de gestión de riesgos con los propios de la organización y su estrategia.
- Asignar responsabilidades.
- Garantizar los recursos destinados a la gestión de riesgos.
- Comunicar los beneficios de la gestión de riesgos a toda la organización.
- Asegurar que el marco para la gestión del riesgo es apropiado en todo momento.
ISO 31000 y el contexto de la organización
Como tarea previa al diseño y aplicación del marco para la gestión de riesgos, es necesario evaluar y entender el contexto de la organización. El motivo es que los elementos del contexto pueden influir en el diseño del marco.
Algunos de los elementos a incluir en el análisis del contexto externo de la organización pueden ser:
- Situación cultural, política, jurídica, reglamentaria, financiera, tecnológica, económica y el entorno competitivo.
- Factores clave y tendencias que repercutan en los objetivos de la organización.
- Las relaciones y percepciones con los valores de las partes interesadas.
Entre los elementos a incluir en el análisis del contexto interno de la organización podemos mencionar los siguientes:
- La gobernanza, la estructura de la organización, las funciones y responsabilidades.
- Las políticas, objetivos y estrategias a seguir.
- Recursos y conocimientos de la organización.
- Los sistemas de información y flujos y la toma de decisiones.
- Las relaciones, percepciones y valores de los grupos de interés.
- La cultura de la organización.
- Normas adoptadas por cada organización.
- Forma y alcance de relaciones contractuales.
ISO 31000 y la política de gestión de riesgos
La política de gestión de riesgos de ISO 31000 debe incluir una exposición clara de los objetivos de la organización y su compromiso, tratando los siguientes puntos:
- Fundamento de cada organización para la gestión de riesgos.
- Relaciones entre objetivos de la organización y sus políticas con la política de gestión de riesgos.
- La rendición de cuentas y responsabilidades con respecto a la gestión de riesgos.
- El modo de tratar los intereses en conflicto.
Respecto al compromiso existente, cabe destacar que se debe facilitar los recursos necesarios a los responsables de la gestión del riesgo. A esto, es necesario mencionar que hay que establecer la forma de medir y reportar resultados.
Por otro lado, debe existir el compromiso de revisión y mejora de la política de gestión de riesgos para adaptarlo a las circunstancias de cada momento.
Una política de gestión de riesgos debe ser comunicada a toda la organización de la forma acordada.
En países como Colombia, el uso de herramientas de gestión de riesgos está muy extendido. La norma ISO 31000 es una gran ayuda para este fin, si no sabes cómo manejar este tema participa en el curso online Gestión de Riesgos Corporativos ISO 31000.