ISO 31000

La norma ISO 31000 conforma un marco para la gestión del riesgo aplicable a cualquier tipo de empresa, sin importar su tamaño o sector.

Al aplicar esta norma para la gestión del riesgo la empresa se compromete a cumplir una serie de criterios para que los resultados sean los deseados.

La organización que decida usar la norma ISO 31000 obedecerá a un marco de aplicación en el que deberá:

  • Aplicar la política de gestión de riesgos.
  • Asegurar que la toma de decisiones está alineada con los resultados de los procesos de gestión de riesgos.
  • Alinear el desarrollo y establecimiento de objetivos a la gestión del riesgo.
  • Comunicar y consultar a las partes interesadas la adecuación de su marco de gestión.
  • Definir la estrategia de aplicación de este marco.
  • Cumplir los requisitos legales y reglamentarios.
  • Ofrecer información y formación.

A la hora de implementar el proceso de gestión de riesgos debemos pensar que debe aplicarse a través de un plan de gestión de riesgos en todos los niveles y funciones de una organización. Debe forma parte de sus prácticas y procesos.

No solo es importante la implementación, también lo es el seguimiento y revisión del marco de gestión de riesgos que aporta la norma ISO 31000.

45001

La organización debe asegurar que la gestión del riesgo que lleva a cabo es eficaz. Para ello deberá hacer lo siguiente:

  • Medir el rendimiento con indicadores de gestión. Estos indicadores se revisarán periódicamente.
  • Medir los progresos conseguidos y la desviación del plan.
  • Revisar, con cierta periodicidad, si el marco de la gestión de riesgos, la política y el plan empleado siguen siendo adecuados y pertinentes.
  • Realizar un informe que contenga el progreso del plan de gestión de riesgos y el seguimiento de la aplicación de la política.
  • Comprobar la eficacia del marco para la gestión de riesgos.

Lo ideal es trabajar en pro de la mejora continua, y esto solo se consigue haciendo uso de los resultados y opiniones que existan sobre el proceso de gestión de riesgos. Esto servirá para sustentar las decisiones que se tomen sobre la mejora de la política y el plan de riesgos.

ISO 31000 y el Proceso General de gestión de riesgos

El proceso de gestión del riesgo debe cumplir con una serie de características que lo fortalecen:

  • Debe formar parte integral de la gestión.
  • Debe estar acomodado en la cultura y prácticas de la organización.
  • Debe estar adaptado a los procesos de negocio de la organización.

Este proceso comprende los siguientes subprocesos

  1. Comunicación y consulta
  2. Establecimiento del contexto
  3. Valoración del riesgo
    • Identificación de riesgos
    • Análisis de riesgos
    • Evaluación de riesgos
  4. Tratamiento de los riesgos
  5. Seguimiento y revisión

El proceso de gestión de riesgos que propone la norma ISO 31000 comprende estas 5 etapas, la iremos comentando poco a poco. En este post hablaremos sobre la primera etapa.

1. Comunicación y consulta

Aunque la tengamos como primera etapa del proceso, la comunicación y consulta con las partes interesadas, tanto internas como externas, debería tener lugar en todas las etapas de la gestión de riesgos.

Está situada como la primera etapa porque de ella obtendremos información útil para el resto del proceso. Abordaremos temas relacionados con el riesgo en sí mismo, sus causas, sus consecuencias y las medidas adoptadas para su tratamiento.

Este primer proceso de comunicación y consulta interna y externa tiene como objetivo garantizar que los responsables de la aplicación de la gestión de riesgos y las partes interesadas comprenden la base en la que se toman las decisiones y las razones por las que se adoptan unas medidas u otras.

La consulta nos ayudará a:

  • Establecer el contexto adecuado.
  • Garantizar que los intereses de las partes interesadas son entendidos y tenidos en cuenta.
  • Garantizar que los riesgos han sido identificados correctamente.
  • Analizar los riesgos desde diferentes puntos de vista.
  • Garantizar que estos puntos de vista se tienen en cuenta en la definición de los criterios de riesgo y en la evaluación de riesgos.
  • Apoyar el plan de tratamiento de riesgos.
  • Mejorar la gestión del cambio en el propio proceso de gestión de riesgos.
  • Desarrollar una comunicación interna y externa efectiva, así como un plan de consulta.

Esta primera etapa del proceso que propone la norma ISO 31000 es bastante importante porque permite que todas las partes interesadas emitan su propio juicio sobre los riesgos, en base a sus percepciones de los mismos.

Como es normal, las percepciones variarán en cuanto a los valores, necesidades, suposiciones, conceptos y preocupaciones de los interesados.

Este proceso debe generar información veraz, relevante, precisa y comprensible, y no olvidarse de aspectos como la confidencialidad y la integridad personal.

En próximos post estudiaremos el resto de etapas del proceso de gestión de riesgos que aporta la norma ISO 31000.

Si te interesa el tema participa en el curso Gestión de Riesgos Corporativos ISO 31000 que la Escuela Europea de Excelencia propone.




Curso online ISO 31000