ISO 31000 GESTION DE RIESGOS – PREGUNTAS FRECUENTES

Publicado el por Ing. Hugo Gonzalez

ISO 31000 GESTIÓN DE RIESGOS – PREGUNTAS FRECUENTES

En el marco del recientemente realizado I FORO PARA MANEJO DE CRISIS Y LA CONTINUIDAD DE NEGOCIO, los asistentes efectuaron numerosas preguntas, algunas de las cuales fueron respondidas durante la emisión del evento, pero muchas quedaron con una respuesta pendiente.

Este artículo recopila una parte sustancial de las preguntas que efectuó la audiencia de la conferencia «ISO 31000. IMPACTO DE LA GESTIÓN DE RIESGOS EN LA CONTINUIDAD DEL NEGOCIO» que se desarrolló durante el I FORO PARA MANEJO DE CRISIS Y LA CONTINUIDAD DE NEGOCIO, y que también suelen ser consultas frecuentes entre las organizaciones que muestran interés por establecer una gestión del riesgo que resulte parte de la gobernanza y el liderazgo de la organización, y que comprenda una actividad fundamental en la manera en que se gestiona la organización en todos sus niveles, contribuyendo a la mejora de los sistemas de gestión.

ISO 31000 GESTION DE RIESGOS - PREGUNTAS FRECUENTES
ISO 31000 GESTION DE RIESGOS – PREGUNTAS FRECUENTES

¿La implementación de las directrices que establece ISO 31000 para la Gestión del Riesgo, se agiliza si la organización practica la Gestión por Procesos?

Sí, efectivamente. Para una organización que es gestionada por procesos resultan parte de su naturaleza los principios en los que se basa la Norma ISO 31000 y que proporcionan orientación sobre las características de una gestión del riesgo eficaz y eficiente, comunicando su valor y explicando su intención y propósito.

Los siguientes son los principios que conforman el fundamento de la gestión del riesgo:

  • Integrada: La gestión del riesgo es parte integral de todas las actividades de la organización.
  • Estructurada y exhaustiva: Un enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a resultados coherentes y comparables.
  • Adaptada: El marco de referencia y el proceso de la gestión del riesgo se adaptan y son proporcionales a los contextos externo e interno de la organización relacionados con sus objetivos.
  • Inclusiva: La participación apropiada y oportuna de las partes interesadas permite que se consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una mayor toma de conciencia y una gestión del riesgo informada.
  • Dinámica: Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos externo e interno de la organización. La gestión del riesgo anticipa, detecta, reconoce y responde a esos cambios y eventos de una manera apropiada y oportuna.
  • Mejor información disponible: Las entradas a la gestión del riesgo se basan en información histórica y actualizada, así como en expectativas futuras. La gestión del riesgo tiene en cuenta explícitamente cualquier limitación e incertidumbre asociada con tal información y expectativas. La información debería ser oportuna, clara y disponible para las partes interesadas pertinentes.
  • Factores humanos y culturales: El comportamiento humano y la cultura influyen considerablemente en todos los aspectos de la gestión del riesgo en todos los niveles y etapas.
  • Mejora continua: La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.

¿Los criterios de los riesgos están definidos en la norma o son definidos por cada organización?

La Norma ISO 31000 proporciona algunas definiciones, para precisar los conceptos centrales a los que se refiere, pero no especifica criterios para análisis, los que deben ser establecidos por cada organización.

De este modo, es la organización la que debería precisar cantidad y tipo de riesgo que puede o no puede tomar con relación a los objetivos. También debería definir los criterios para valorar la importancia del riesgo y para apoyar los procesos de toma de decisiones.

Estos criterios se deberían alinear con el marco de referencia de la gestión del riesgo y adaptar al propósito y al alcance específicos de la actividad considerada, reflejando los valores, objetivos y recursos de la organización, en total coherencia con las políticas y declaraciones acerca de la gestión del riesgo.

Para establecer los criterios del riesgo, se debería tomar en consideración lo siguiente:

  • La naturaleza y los tipos de las incertidumbres que pueden afectar a los resultados y objetivos (tanto tangibles como intangibles);
  • Cómo se van a definir y medir las consecuencias (tanto positivas como negativas) y la probabilidad;
  • Los factores relacionados con el tiempo;
  • La coherencia en el uso de las mediciones;
  • Cómo se va a determinar el nivel de riesgo;
  • Cómo se tendrán en cuenta las combinaciones y las secuencias de múltiples riesgos;
  • La capacidad de la organización.

¿Cuáles son las ventajas o beneficios para la organización que implementa ISO 31000?

Entre las ventajas o beneficios que la implementación de la Norma ISO 31000 implican para una organización se pueden mencionar a las siguientes:

  • Mejora la integración de los riesgos y oportunidades con la estrategia definida por la empresa.
  • Asegura que el costo del control de riesgos es justificable y acorde con las necesidades de la empresa.
  • Mejora la evaluación de los riesgos y el control de sus efectgos.
  • Aumenta la probabilidad de lograr los objetivos que la organización se plantea.
  • Fomenta la gestión proactiva.
  • Mejora la identificación de oportunidades y amenazas.
  • Ayuda a cumplir con los requisitos legales y normativos aplicables, y otros requisitos.
  • Mejora la información financiera y la gestión empresarial.
  • Mejora la confianza de las partes interesadas.
  • Establece una base fiable para la toma de decisiones y planificación.
  • Mejora los controles implementados para los riesgos que se materializaron en la empresa.
  • Mejora la eficacia y la eficiencia operacional.
  • Minimiza las pérdidas ante un incidente.
  • Mejora el aprendizaje organizativo.
ISO 31000 GESTION DE RIESGOS - PREGUNTAS FRECUENTES
ISO 31000 GESTION DE RIESGOS – PREGUNTAS FRECUENTES

¿Cuál es la diferencia entre las Normas ISO 22301 y 31000?

Si bien están relacionadas, estas normas se ocupan de diferentes aspectos.

La norma ISO 31000 es un estándar de carácter internacional que proporciona directrices para gestionar el riesgo al que se enfrentan las organizaciones. La aplicación de estas directrices puede adaptarse a cualquier tipo de organización y a su contexto. Proporciona un enfoque común para gestionar cualquier tipo de riesgo y no es
específico de una industria o un sector.

Puede utilizarse a lo largo de la vida de la organización y puede aplicarse a cualquier actividad, incluyendo la toma de decisiones a todos los niveles.

En cambio, la Norma ISO 22301 especifica la estructura y los requisitos para implementar y mantener un Sistema de Gestión de la Continuidad del Negocio (BCMS, por sus siglas en inglés) que desarrolle la continuidad del negocio apropiada para la cantidad y el tipo de impacto que la organización puede aceptar o no después de una interrupción.
Los resultados de mantener un BCMS están determinados por los requisitos legales, reglamentarios, organizativos e industriales de la organización, los productos y servicios proporcionados, los procesos empleados, el tamaño y la estructura de la organización, y los requisitos de sus partes interesadas.

Un BCMS enfatiza la importancia de:

  • Comprender las necesidades de la organización y la necesidad de establecer políticas y objetivos de continuidad del negocio;
  • Operar y mantener procesos, capacidades y estructuras de respuesta para garantizar que la organización sobreviva a las interrupciones;
  • Monitorear y revisar el desempeño y la efectividad del BCMS;
  • Mejora continua basada en medidas cualitativas y cuantitativas.

¿Cómo define el riesgo la Norma ISO 31000?

La norma ISO 31000 no sólo concibe el riesgo de manera negativa, sino que lo define como la exposición a la incertidumbre, pudiendo ser las consecuencias de esta incertidumbre tanto positivas como negativas. Con mayor detalle, de lo que se ocupa la Gestión de Riesgos es de analizar las desviaciones producidas con respecto a lo previsto, para una vez identificadas poder maximizar aquellas vistas como oportunidades y minimizar las consideradas amenazas. De esta forma, es posible mejorar las decisiones y resultados.

Específicamente, ISO 31000 define al Riesgo como el efecto de la incertidumbre sobre los objetivos.

Esta definición consta de las siguientes notas aclaratorias:

  • NOTA 1: Un efecto es una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas.
  • NOTA 2: Los objetivos pueden tener diferentes aspectos y categorías, y se pueden aplicar a diferentes niveles.
  • NOTA 3: Con frecuencia, el riesgo se expresa en términos de fuentes de riesgo, eventos, potenciales, sus consecuencias y sus probabilidades.

¿Qué debe tener en cuenta una empresa para la Identificación del riesgo?

El propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos. Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada.

A fin de identificar los riesgos, una organización puede utilizar la técnica o método que le resulte más apropiado, y se deberían tomar en cuenta los siguientes aspectos:

  • Las fuentes de riesgo tangibles e intangibles;
  • Las causas y los eventos,
  • Las amenazas y las oportunidades;
  • Las vulnerabilidades y las capacidades;
  • Los cambios en los contextos externo e interno;
  • Los indicadores de riesgos emergentes;
  • La naturaleza y el valor de los activos y los recursos;
  • Las consecuencias y sus impactos en los objetivos;
  • Las limitaciones de conocimiento y la confiabilidad de la información;
  • Los factores relacionados con el tiempo;
  • Los sesgos, los supuestos y las creencias de las personas involucradas.

¿Como se conforma el equipo de Gestión del Riesgo?

ISO 31000 no establece cómo se debe conformar el equipo de Gestión de Riesgos, aunque aclara que tanto la alta dirección como los órganos de supervisión de la empresa, cuando sea aplicable, deberían asegurar que la gestión del riesgo esté integrada en todas las actividades de la organización, y demostrar el liderazgo y compromiso:

  • Adaptando e implementando todos los componentes del marco de referencia;
  • Publicando una declaración o una política que establezca un enfoque, un plan o una línea de acción para la gestión del riesgo;
  • Asegurando que los recursos necesarios se asignan para gestionar los riesgos;
  • Asignando autoridad, responsabilidad y obligación de rendir cuentas en los niveles apropiados dentro de la organización;

De este modo, el equipo de personas a cargo de la Gestión del Riesgo es recomendable que esté conformado por personas de diversas áreas de la empresa, de forma tal que le proporcionen a su actividad diversos puntos de vista y diferentes perspectivas.

También, el equipo de Gestión del Riesgo debería contar con una asignación de recursos adecuada a sus actividades que puede incluir, pero no limitarse a:

  • Las personas, las habilidades, la experiencia y las competencias;
  • Los procesos, los métodos y las herramientas de la organización a utilizar para gestionar el riesgo;
  • Los procesos y procedimientos documentados;
  • Los sistemas de gestión de la información y del conocimiento;
  • El desarrollo profesional y las necesidades de formación.

La organización debería considerar las competencias y limitaciones de los recursos existentes.

¿Podría indicar ejemplos de Acciones Prácticas a implementar para iniciar la Gestión del Riesgo?

A fin de comenzar a poner en práctica la Gestión del Riesgo, una organización podría llevar adelante algunas de las siguientes iniciativas:

  • Identificación de los principales riesgos que pueden afectar a la organización.
  • Acciones para mitigar los riesgos identificados.
  • Compra de seguros contra pérdidas inesperadas significativas.
  • Contratación de outsourcing para procesos del negocio.
  • Compartir el riesgo con acuerdos o contratos con otras partes interesadas, como clientes, proveedores u otros socios de negocios.
  • Fortalecimiento del control interno en los procesos del negocio.
  • Diversificación/especialización de productos.
  • Establecimiento de límites a las operaciones y monitoreo.
  • Capacitación y formación sobre manejo del equipamiento.
  • Establecimiento de políticas.
  • Revisión periódica de los requisitos legales y de su cumplimiento.
  • Contratación de asesores externos especializados.
Software para administración eficaz de ISO 9001 / 14001 / 45001 / 50001 / 31000
Software para administración eficaz de ISO 9001 / 14001 / 45001 / 50001 / 31000

¿Cómo preparar a una empresa cuando los factores externos son extremadamente adversos, como en el caso de contingencias de tipo «Cisne Negro»?

Tal como se ha mencionado en el Foro, la gestión de riesgos en muchas organizaciones se basa en la identificación de riesgos en función de la experiencia de los equipos involucrados. Los eventos de baja probabilidad y alto impacto, conocidos como “Cisnes Negros”, no suelen formar parte de esa experiencia, y por tal razón, quedan por fuera de la gestión.

Así, resulta una práctica habitual concentrar los recursos de la empresa en el tratamiento de los riesgos más probables, en detrimento de aquellos que son apenas «posibles» y muy poco probables, pero que cuando ocurren tienen un impacto altísimo, como la actual pandemia del coronavirus COVID-19, con consecuencias muy importantes para las empresas.

Ampliando el rango de riesgos a analizar, incluyendo a los eventos de baja probabilidad y alto impacto, es muy probable que para una organización tengan consecuencias similares que inciden en mayor o menor medida en determinadas áreas:

  • Seguridad humana.
  • Afectaciones físicas a la estructura de atención inmediata.
  • Interrupción de la capacidad operacional a largo y medio plazo, incluyendo la cadena de suministro y los servicios financieros.
  • Estructura de comunicaciones.
  • Afectación de la marca.
  • Continuidad del negocio.
  • Preparación integral ante emergencias

¿Cuáles son los elementos del proceso de gestión de riesgos según ISO 31000?

El proceso de gestión de riesgos que establece ISO 31000 está conformado por los siguientes elementos:

  • Comunicación y consulta. Para ampliar información sobre esta fase, recomendamos ISO 31000 y la comunicación y consulta.
  • Definición del contexto, alcance y criterios
  • Evaluación del riesgo, que a su vez consta de identificación, análisis y valoración del riesgo
  • Tratamiento de los riesgos
  • Seguimiento y revisión
  • Registro de informes
ISO 31000 GESTION DE RIESGOS - PREGUNTAS FRECUENTES
ISO 31000 GESTION DE RIESGOS – PREGUNTAS FRECUENTES

¿Cuáles son los aspectos que se deben tomar en consideración para analizar los riesgos identificados?

El propósito del análisis del riesgo es comprender la naturaleza del riesgo y sus características incluyendo, cuando sea apropiado, el nivel del riesgo.

El análisis del riesgo implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia.

Se debe considerar también que un evento puede tener múltiples causas y consecuencias y puede afectar a múltiples objetivos.

El análisis del riesgo se puede realizar con diferentes grados de detalle y complejidad, dependiendo del propósito del análisis, la disponibilidad y la confiabilidad de la información y los recursos disponibles.

Las técnicas de análisis a utilizar pueden ser cualitativas, cuantitativas o una combinación de éstas, dependiendo de las circunstancias y del uso previsto.

El análisis del riesgo debería considerar factores tales como:

  • La probabilidad de los eventos y de las consecuencias;
  • La naturaleza y la magnitud de las consecuencias;
  • La complejidad y la interconexión;
  • Los factores relacionados con el tiempo y la volatilidad;
  • La eficacia de los controles existentes;
  • Los niveles de sensibilidad y de confianza.

¿Con qué frecuencia se deben valorar los riesgos o medir el riesgo residual?

ISO 31000 no establece frecuencia o período específico para revisar la valoración de riesgos, o para alguna otra etapa del proceso de Gestión de Riesgos. Sin embargo sí define como necesario el seguimiento y la revisión del proceso, con el propósito de asegurar y mejorar la calidad y la eficacia del diseño, la implementación y los resultados del proceso de Gestión del Riesgo.

El seguimiento continuo y la revisión periódica del proceso de la gestión del riesgo y sus resultados debería ser una parte planificada del proceso de la gestión del riesgo, con responsabilidades claramente definidas.

El seguimiento y la revisión deberían tener lugar en todas etapas del proceso. El seguimiento y la revisión incluyen planificar, recopilar y analizar información, registrar resultados y proporcionar retroalimentación.

Los resultados del seguimiento y la revisión deberían incorporarse a todas las actividades de la gestión del desempeño, de medición y de informe de la organización.

Bibliografía:

  • ISO 31000:2018 – Gestión del Riesgos – Directrices
  • El Cisne Negros, Nassim Nicholas Taleb (2007)
  • ISO 22301:2019 – Security and resilience – Business continuity management systems – Requirements
DESCARGAR EN FORMATO PDF ARTÍCULOS SOBRE SISTEMAS DE GESTIÓN DE NORMAS ISO
DESCARGAR EN FORMATO PDF ARTÍCULOS SOBRE SISTEMAS DE GESTIÓN DE NORMAS ISO

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.

Un Modelo adecuado de Gestión de Riesgos debe tener la capacidad de proporcionar información clave que le permita a tu organización enfrentar con éxito los desafíos que proponen los entornos inciertos, a fin de estar en condiciones de anticipar los problemas para resolverlos de manera eficiente y poder aprovechar las oportunidades cuando éstas se presenten.

La implementación eficaz de la Gestión de Riesgos necesita un proceso de cambio cultural que permita comprender que los responsables de los negocios son responsables, de manera colaborativa, de sus riesgos asociados, favoreciendo un manejo integrado de los negocios y sus riesgos asociados.

CONSULTORIA SOBRE GESTIÓN DE RIESGOS
CONSULTORIA SOBRE GESTIÓN DE RIESGOS

Calidad & Gestión brinda el Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos con el objetivo de que tu organización pueda controlar el impacto de eventuales riesgos que pueden afectar a su organización, permitiendo administrar su incertidumbre y tomar decisiones considerando aspectos que no son fácilmente visibles.

A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:

  • ¿Cuáles riesgos pueden impedir el logro de la estrategia?
  • ¿Cuáles riesgos pueden representar oportunidades?
  • ¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
  • ¿Qué tratamiento van a recibir?

Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.

Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.

SOFTWARE PARA SISTEMAS DE GESTION ISO 9001 - ISO 14001 - ISO 45001 - ISO 50001 width=
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).

Mediante nuestra página web puede acceder a una DEMO GRATUITA DE UN SOFTWARE PARA ISO 9001, ISO 14001, ISO 45001, ISO 50001 que le permitirá evaluar una herramienta de gran utilidad para sistemas de gestión.

Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.