ISO 31000:2018-DIRECTRICES PARA GESTION DE RIESGOS

Toda organización nace con un propósito, y para cumplirlo requiere reunir diversas condiciones que le permitan crecer y desarrollarse de manera permanente, independientemente de su tamaño, naturaleza o actividades; la primera condición a cumplir será conocer y comprender su contexto, a fin de determinar los factores internos y externos y la influencia que estos ejercen y afectan su propósito, este conocimiento incluye la definición de sus partes interesadas y necesidades.

En el conocimiento y comprensión del contexto, deberá definir las amenazas que lo aquejan para prever acciones que le ayuden a mitigar sus posibles impactos adversos; es precisamente aquí en donde se genera una incertidumbre sobre los riesgos que representan esas amenazas; para ello debe adoptar una gestión de riesgos que le aporte los insumos suficientes para administrar de forma más acertada la incertidumbre y tomar las decisiones más adecuadas.

La Gestión del Riesgo, de cualquier tipo de riesgo sin especificar industria o sector alguno, se estandarizó mediante la Norma ISO 31000:2009, el primer estándar internacional que ha proporcionado un acercamiento común para gestionar los riesgos a los que están expuestos las organizaciones.

En este contexto, la revisión 2018 de la ISO 31000 supone un paso firme para la norma como guía de referencia en lo relativo al riesgo para los estándares de ISO que dan lugar a otros sistemas de gestión, tales como ISO 9001, 14001, 45001, etc, los que, tras la aprobación por parte de ISO de la estructura de alto nivel (HLS) en 2012, estos estándares ISO y sus revisiones tienen que incluir una consideración del riesgo.

El comité técnico ISO ha publicado la nueva versión de ISO 31000:2018. Esta norma para la Gestión de Riesgos ha sido simplificada, y permite a las empresas y organizaciones revaluar sus metodologías de gestión sobre cualquier tipo de riesgo.

La norma se centra de forma exhaustiva en la atención de la gestión del riesgo, como una herramienta para minimizar de forma anticipada las posibles inseguridades que pudieran producirse. Por tanto, ISO 31000:2018 se actualiza para dar respuesta con eficacia y seguridad a los riesgos y peligros actuales a los que se enfrentan las organizaciones y empresas.

ISO 31000 – GESTION DE RIESGOS

PRINCIPIOS DE ISO 31000:2018 PARA LA GESTIÓN DE RIESGOS

En la nueva actualización de ISO 31000 se reducen de once a ocho principios como factores clave de éxito:

1. Integración en todas las actividades. El proceso de gestión de riesgos debe ser parte integral de los diferentes procesos que conforman el Sistema de Gestión de la organización.
2. Estructuración. El proceso de gestión de riesgos debe estar adecuadamente definido y contar con su propia estructura, además deber ser completo y detallado.
3. Adaptación a la organización. El proceso de gestión de riesgos debe adaptarse al contexto específico de la organización, es decir, tener su propio marco de referencia.
4. Inclusión de todas las partes interesadas. El proceso de gestión de riesgos debe promover la participación de todas las partes interesadas, lo que resulta en información confiable y una mayor toma de conciencia.
5. Dinamismo y respuesta a los cambios. Los riesgos aparecen, cambian o desaparecen con los cambios en el contexto de la organización. La organización debe responder a esos cambios de manera apropiada y oportuna.
6. Base en la mejor información disponible. La gestión de riesgos se debe hacer con información histórica actualizada, así como las expectativas en el futuro. La información debe ser oportuna, clara y disponible para las partes interesadas.
7. Consideración de factores humanos y culturales. El comportamiento humano y la cultural deben ser considerados por el proceso de gestión de riesgos.
8. Foco en la mejora continua. El proceso de gestión de riesgos debe mostrar mejora en el tiempo en eficacia y eficiencia.

ESTRUCTURA DE ISO 31000:2018 PARA LA GESTIÓN DE RIESGOS

La estructura de la nueva Norma ISO 31000:2018 Directrices para la Gestión de Riesgos es la siguiente:

• 1. Objeto y campo de aplicación.
• 2. Referencias normativa.
• 3. Términos y definiciones.
• 4. Principios.
• 5. Marco de trabajo.
• 5.1 Generalidades.
• 5.2 Liderazgo y compromiso.
• 5.3 Integración.
• 5.4 Diseño.
• 5.5 Implementación.
• 5.6 Evaluación.
• 5.7 Mejora.
• 6. Proceso.
• 6.1 Generalidades.
• 6.2 Comunicación y consulta.
• 6.3 Alcance, contexto y criterios.
• 6.4 Apreciación del riesgo.
• 6.5 Tratamiento del riesgo.
• 6.6 Seguimiento y revisión.
• 6.7 Registro y presentación de informes.

PRINCIPALES CAMBIOS EN ISO 31000:2018

Entre los principales cambios de la ISO 31000:2018 con respecto a la versión anterior de 2009, se pueden mencionar a los siguientes:

• Revisión de los principios de la gestión de riesgos, que son los criterios clave para su éxito.
• La versión 2018 se enfoca más en crear y proteger el valor como el impulsor clave de la gestión del riesgo y presenta otros principios relacionados tales como la mejora continua, la inclusión de partes interesadas, la personalización de la organización y la consideración de factores humanos y culturales.
• Centrarse en el liderazgo de la alta dirección que debe garantizar que la gestión de riesgos se integre en todas las actividades de la organización, comenzando con su gobernanza.
• Mayor énfasis en la naturaleza iterativa de la gestión de riesgos, aprovechando las nuevas experiencias, el conocimiento y el análisis para la revisión de los elementos del proceso, las
  acciones y los controles en cada etapa del proceso.
• Optimización del contenido con un mayor enfoque en el mantenimiento de un modelo de sistemas abiertos que regularmente intercambia retroalimentación con su entorno externo
  para adaptarse a múltiples necesidades y contextos.
• Mayor foco en la integración de la gestión del riesgo con la organización y el papel de los líderes y su responsabilidad. La gestión del riesgo es una parte integral de los negocios.
• Cada sección de la norma se revisó con un espíritu de claridad, utilizando un lenguaje más simple para facilitar la comprensión y hacerla accesible a todos los interesados.
• Mayor énfasis en el logro de objetivos de la gestión del riesgo, haciendo una revisión de procesos, acciones y controles en cada etapa del proceso.

BENEFICIOS DE IMPLEMENTAR ISO 31000:2018

La implementación de la Norma ISO 31000:2018 para Gestión de Riesgos implica una serie de beneficios, y entre los más relevantes se encuentran los siguientes:

Beneficios para las partes interesadas:

• Ofrece seguridad a sus partes interesadas, al tratar con una organización comprometida con la adecuada gestión de sus amenazas y riesgos.
• Aumenta la eficacia en la respuesta ante situaciones de emergencia.
• Permite contar con planes adecuados para enfrentar posibles amenazas o riesgos.

Beneficios en el mercado:

• Imagen de credibilidad y prestigio.
• Brinda seguridad y confianza a sus partes interesadas.
• Competitividad, fortaleza y adecuada gestión de riesgos, evitando afectar a sus partes interesadas.

Beneficios para la organización:

• Imagen de credibilidad y prestigio del organismo.
• Brinda seguridad y confianza a sus colaboradores y clientes.
• Competitividad, fortaleza y adecuada gestión de riesgos.
• Con la norma ISO 31000:2018 permite a las partes interesadas destacar en la toma de decisiones, el logro de objetivos y la mejora del desempeño ante amenazas y riesgos que se presenten en la organización.
• Cualquier organización está expuesta a factores externos, internos e influencias que hacen que sea incierto si lograrán sus objetivos, sin embargo, con las buenas prácticas y los conocimientos obtenidos en gestión de riesgos, se pueden mejorar los procesos de implementación.
• La gestión del riesgo es dinámica y ayuda a las organizaciones a establecer estrategias, alcanzar objetivos y tomar decisiones informadas.
• Contribuye a la mejora de los sistemas de gestión de riesgos.

Software para administración eficaz de ISO 9001 / 14001 / 45001 / 50001 / 31000

PLAN PARA TRATAMIENTO DEL RIESGO

Un daño a la reputación de la empresa o de la marca, un delito cibernético, incumplimientos legales y/o regulatorios, o un acto de terrorismo son ejemplos de algunos de los riesgos que las organizaciones privadas y públicas de todo tipo y tamaño en todo el mundo deben enfrentar con mayor frecuencia.

La versión 2018 de ISO 31000 busca ayudar a manejar la incertidumbre que se presenta en cada decisión de una organización. Hacer frente al riesgo es parte de la gobernanza y el liderazgo, y es fundamental para la gestión de una organización en todos los niveles. ISO 31000: 2018 ofrece una guía más clara, breve y concisa que ayuda a las organizaciones a utilizar principios de gestión de riesgos para mejorar la planificación y tomar mejores decisiones.

ISO 31000 – GESTION DE RIESGOS

De este modo, en el capítulo 6.5 Tratamiento del riesgo, en el ítem 6.5.3 Preparación e implementación de los planes de tratamiento del riesgo la Norma ISO 31000:2018 establece que un Plan para Tratamiento del Riesgo debe especificar la manera en que se implementarán las opciones elegidas para el tratamiento de tales riesgos, y además debe incluir como mínimo la siguiente información:

• Los fundamentos de la selección de las opciones para el tratamiento de riesgos
• Las personas responsables por la implementación del Plan
• Las acciones propuestas
• Los recursos necesarios
• Las medidas del desempeño
• Los informes de seguimiento requeridos
• Los plazos previstos

Con el objeto de elaborar un Plan para Tratamiento del Riesgo que resulte adecuado a lo especificado por la Norma ISO 31000:2018, se deberían tomar en consideración los siguientes aspectos:

• Definición del alcance del plan de riesgos. Los riesgos a tratar se circunscriben a un proyecto, a un proceso, o abarcan a toda la compañía?
• Recopilación de información sobre riesgos. Se debe obtener información sobre los riesgos a tratar. Una buena iniciativa puede ser vincular a las personas clave de la empresa en las actividades de gestión de riesgos para favorecer la comunicación interna de riesgos y hacer que las prácticas de gestión de riesgos se multipliquen por la empresa.
• Identificación de los riesgos y sus consecuencias. Confeccionar lista de riesgos, asociando cada riesgo con sus consecuencias de manera específica.
• Identificación de los controles de cada riesgo. Los controles son actividades, procedimientos o mecanismos que, una vez implementados, pueden actuar sobre un riesgo, alterando su probabilidad o su impacto.
• Análisis de probabilidad. Para cada riesgo de la lista, se debe determinar la probabilidad de que este riesgo se materialice.
• Análisis del impacto. Para cada riesgo de la lista, se debe determinar la magnitud de las consecuencias de que este riesgo se materialice.
• Determinación del nivel del riesgo, en base a la probabilidad y al impacto de cada riesgo.
• Definición de prioridades, en función del nivel de riesgo.
• Planificación de estrategias de mitigación (reducir la probabilidad de que un riesgo se materialice) y contingencia (reducir el impacto de un riesgo si se materializa)
• Analisis de eficacia de las estrategias implementadas.
• Monitoreo de los riesgos. Se debería disponer de herramientas cuantitativas que permitan monitorear, realizar seguimiento y establecer cuándo tomar acciones para mitigar riesgos. Dichos indicadores cuantitativos son comúnmente conocidos como o KRI (key risk indicator), y se trata de métricas creadas para poder sintetizar objetivamente aquellos riesgos considerados como significativos y que necesitan un tratamiento diferenciado. Estas métricas permiten llevar un registro de incidencias, monitorear su comportamiento, informar sobre su evolución, reportarlos y establecer planes de acción cuando salen de la tendencia esperada.

DESCARGAR EN FORMATO PDF ARTÍCULOS SOBRE SISTEMAS DE GESTIÓN DE NORMAS ISO

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.

Un Modelo adecuado de Gestión de Riesgos debe tener la capacidad de proporcionar información clave que le permita a tu organización enfrentar con éxito los desafíos que proponen los entornos inciertos, a fin de estar en condiciones de anticipar los problemas para resolverlos de manera eficiente y poder aprovechar las oportunidades cuando éstas se presenten.

La implementación eficaz de la Gestión de Riesgos necesita un proceso de cambio cultural que permita comprender que los responsables de los negocios son responsables, de manera colaborativa, de sus riesgos asociados, favoreciendo un manejo integrado de los negocios y sus riesgos asociados.

CONSULTORIA SOBRE GESTIÓN DE RIESGOS

Calidad & Gestión brinda el Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos con el objetivo de que tu organización pueda controlar el impacto de eventuales riesgos que pueden afectar a su organización, permitiendo administrar su incertidumbre y tomar decisiones considerando aspectos que no son fácilmente visibles.

A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:

• ¿Cuáles riesgos pueden impedir el logro de la estrategia?
• ¿Cuáles riesgos pueden representar oportunidades?
• ¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
• ¿Qué tratamiento van a recibir?

Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.

Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.

El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).

Mediante nuestra página web puede acceder a una DEMO GRATUITA DE UN SOFTWARE PARA ISO 9001, ISO 14001, ISO 45001, ISO 50001 que le permitirá evaluar una herramienta de gran utilidad para sistemas de gestión.

Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.

PROGRAMAS DE COMPLIANCE – LEY 27401 DE RESPONSABILIDAD PENAL EMPRESARIA

En el pasado mes de noviembre se aprobó en Argentina la Ley 27401 de Responsabilidad penal de las Personas jurídicas, que tiene por objeto combatir la corrupción empresaria. Entre los aspectos más relevantes se destacan:

• Los delitos por los que una persona jurídica será penalmente responsable (art. 1),
• El Acuerdo de Colaboración Eficaz y sus efectos (art. 16),
• Las penas que se prevén para las personas jurídicas (art. 7), y
• El Programa de Integridad/Compliance, sus requisitos y consecuencias (art. 23).

 

PROGRAMAS DE COMPLIANCE – LEY 27401 DE RESPONSABILIDAD PENAL EMPRESARIA

De este modo, se establece que las empresas responderán penalmente por algunos delitos específicos del Código Penal, como cohecho y tráfico de influencias nacional o transnacional.

También, mediante el Acuerdo de Colaboración eficaz, una empresa podrá brindar datos precisos y útiles para avanzar con la investigación del hecho, y a cambio de ello podrá obtener una reducción de la pena.

Esta ley establece además las penas que podrán recibir las personas jurídicas: una multa que será entre dos a cinco veces la ganancia obtenida ilegalmente por la empresa. También se podrá imponer a la empresa la suspensión total o parcial de actividades y la imposibilidad de participar en concursos o licitaciones estatales de obras o servicios públicos o en cualquier otra actividad vinculada con el Estado; entre otras.

Sin dudas, uno de los aspectos más relevantes de la ley es la inclusión de los Programas de Integridad o Programas de Compliance que, además, serán obligatorios para aquellas empresas que contraten con el Estado.

 

NORMA ISO 19600 GESTIÓN DE COMPLIANCE

El cumplimiento de leyes y regulaciones aplicables a una empresa, habitualmente mencionado como «COMPLIANCE«, se ha convertido en uno de los mayores desafíos que enfrentan las empresas en la actualidad. No tener los controles y la cultura correctos en su lugar podría significar el desembolso de gran cantidad de dinero en multas, además de la pérdida de credibilidad como organización, y la afectación a las marcas.

Así entonces, las empresas se preguntan cómo pueden obtener pautas sobre los Sistemas de Gestión de Compliance, y una respuesta adecuada puede encontrarse en la Norma ISO 19600:2014.

En pocas palabras, Compliance se refiere a una compañía que obedece las leyes aplicables, los estándares relevantes de la industria y las políticas internas (por ejemplo, códigos de conducta) que ha decidido implementar porque afectan a su negocio, a su personal y al tratamiento de los consumidores y otras partes interesadas.

Básicamente, el objetivo principal del Compliance es asegurarse de que las empresas cumplan con sus responsabilidades y administren efectivamente el riesgo de dañar su reputación.

 

 

PROGRAMAS DE COMPLIANCE – LEY 27401 DE RESPONSABILIDAD PENAL EMPRESARIA

 

La Norma ISO 19600 ofrece una guía completa con ejemplos útiles y fáciles de seguir para los usuarios que desean implementar un sistema de gestión de cumplimiento o comparar su marco con un estándar.

Las actividades de normalización son la respuesta a la inquietud social de dar un tratamiento homogéneo a determinados aspectos técnicos. En el ámbito del Compliance, la proliferación
de normas que afectan a las actividades empresariales ha justificado impulsar directrices sobre el modo de gestionar esta complejidad. Además, la irrupción del Derecho penal en la esfera económica ha incrementado tal necesidad, contribuyendo a agravar las consecuencias adversas en los campos económicos y de reputación que se pueden derivar de los incumplimientos.

La Norma ISO 19600 aplica una aproximación basada en el riesgo a un Sistema de Gestión de Compliance, lo que significa priorizar la prevención, detección y reacción frente a los riesgos que exponen a la organización. Esto implica conocer cuáles son tales riesgos (identificación), examinarlos (análisis) y finalmente otorgarles una calificación (valoración). Estas tres actividades se conocen, en su conjunto, como evaluación de los riesgos, y es la que permite orientar adecuadamente una gran parte de los elementos que conforman el sistema de gestión de Compliance.

Bibliografía:

• ISO 19600:2014 – Compliance Management Systems – Guidelines

 

USO DE SOFTWARE PARA GESTION DE COMPLIANCE

Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión de Compliance, muchas organizaciones recurren a la automatización de las actividades.

Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar la Gestión de Compliance.

 

SOFTWARE PARA GESTION DE COMPLIANCE

 

El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).

Mediante nuestra página web puede acceder a una DEMO GRATUITA DE UN SOFTWARE PARA COMPLIANCE que le permitirá evaluar una herramienta de gran utilidad para el oficial de cumplimiento de una organización.

 

 

Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.

 

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

 

Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.

 

Un Modelo adecuado de Gestión de Riesgos debe tener la capacidad de proporcionar información clave que le permita a tu organización enfrentar con éxito los desafíos que proponen los entornos inciertos, a fin de estar en condiciones de anticipar los problemas para resolverlos de manera eficiente y poder aprovechar las oportunidades cuando éstas se presenten.

La implementación eficaz de la Gestión de Riesgos necesita un proceso de cambio cultural que permita comprender que los responsables de los negocios son responsables, de manera colaborativa, de sus riesgos asociados, favoreciendo un manejo integrado de los negocios y sus riesgos asociados.

 

CONSULTORIA SOBRE GESTIÓN DE RIESGOS

 

Calidad & Gestión brinda el Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos con el objetivo de que tu organización pueda controlar el impacto de eventuales riesgos que pueden afectar a su organización, permitiendo administrar su incertidumbre y tomar decisiones considerando aspectos que no son fácilmente visibles.

A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:

• ¿Cuáles riesgos pueden impedir el logro de la estrategia?
• ¿Cuáles riesgos pueden representar oportunidades?
• ¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
• ¿Qué tratamiento van a recibir?

Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.