Principales cambios en ISO 31000:2018 – Gestión de Riesgos

¿Cuáles son los principales cambios en ISO 31000:2018? La pregunta resulta relevante ya que en el mes de marzo de este año 2018, se publicó la nueva edición de esta norma que fue recibida de forma discreta en el entorno organizacional, quizá debido a que se trata de un estándar que contiene directrices en lugar de requisitos.

ISO 31000:2018 solo formula recomendaciones y eso significa que no permite la implementación de un sistema de gestión certificable. No obstante, los principales cambios en ISO 31000:2018 resultan importantes ya que se alinean con el enfoque basado en el riesgo, presente en normas como ISO 9001 e ISO 14001.

Principales cambios en ISO 31000:2018 – La estructura

Es importante mencionar que en esta versión, ISO tuvo el propósito de entregar una norma clara, objetiva y sucinta —apenas 16 páginas—, lo cual ya representa una gran diferencia con respecto a su antecesora del año 2009.

El documento, que está dividido en cuatro secciones, a primera vista proporciona cambios estructurales interesantes:

• Lenguaje actualizado y simplificado dentro de una estructura de referencias renovada.
• Énfasis a lo largo de toda la norma sobre el papel de liderazgo de la Alta Dirección y la responsabilidad que debe asumir para garantizar que la gestión de riesgos se integre en todos los niveles de la organización.
• Mayor atención a la naturaleza dinámica y cambiante de la gestión de riesgos, que exige la necesidad de que las organizaciones evalúen sus riesgos y sus impactos, a la luz de nuevas circunstancias o factores en el contexto externo o interno, pero también como respuesta a comentarios sobre brechas que se detecten en los procesos de riesgo actuales o en sus controles asociados.

Principales cambios en ISO 31000:2018 – Revisando la norma

El documento, que como ya hemos anotado consta de 16 páginas divididas en 4 secciones, nos presenta las siguientes novedades:

La introducción

Ahora es más sucinta y objetiva. Incluye una imagen con diagramas que explican la interrelación entre los principios, estructura y proceso. En la versión 2009 parecía que el único objetivo de la introducción era convencer a los lectores de que gestionar riesgos era algo positivo a la organización, concepto este que, sin ser erróneo, parece ser un poco obvio.

Términos y definiciones

En este punto la reducción queda más clara aún. En la versión 2009 había 29 ítems, en tanto que la edición de 2018 nos ofrece solo 8. Es importante resaltar que los términos no han “desaparecido”, solo se omite su mención, y si algún usuario desea consultar un término o definición presente en la norma, puede recurrir al anexo Guía 73 – Gestión de riesgos – Vocabulario.

Principios

También hubo reducción en cuanto a los principios, que de 11 presentes en la versión 2009, pasan a 8 en la edición de 2018. A pesar de la reducción, los conceptos esenciales se mantienen ya que los principios ausentes han sido incluidos a lo largo de la norma.

Conozca los principales cambios en #ISO31000 versión 2018 y su repercusión en la #GestiónRiesgos Clic para tuitear

Estructura

A partir de este punto, la redacción de los ítems ha cambiado bastante, pero sin muchas alteraciones de fondo en su significado. A pesar de ello, algunas ideas ganaron más visibilidad que en la versión anterior:

• Posicionamiento del liderazgo. Al igual que con otras normas ISO de reciente publicación, el liderazgo de la Alta Dirección se considera esencial para la asignación de responsabilidades de las actividades y el cambio de cultura en la organización, por medio de la declaración de compromiso.
• Supervisión sistémica. En la nueva edición de ISO 31000, se especifica la necesidad de garantizar que los sistemas estén en marcha para gestionar los riesgos y operar con eficacia, admitiendo que estos pueden ser automatizados o no.
• Contexto organizacional. Al analizar el contexto de la organización, se incluyen como factores a considerar la complejidad de las redes sociales y la dependencia de otras partes interesadas.
• Comunicación y consulta. Se hace hincapié en la importancia de la comunicación y consulta con las partes interesadas de manera general. Sin embargo, se destaca la importancia de desarrollar mejoras en la información basada en datos recogidos por medio de consultas.
• Aplicación. La nueva formulación está enfocada hacia la planificación de la estructura, la eliminación de citas objetivas para el mantenimiento de registros y el cumplimiento de los mismos requisitos legales, que ya estaban presentes en la versión anterior.

Procesos

El proceso de gestión de riesgos implica la aplicación de políticas y prácticas alineada con lo que se ha definido durante la estructuración. En este punto de la norma, así como en la anterior, se describen algunas recomendaciones prácticas como las actividades necesarias para el proceso de gestión de riesgos.

El énfasis en la versión 2018 de ISO 31000

La edición 2018 enfatiza en el carácter dinámico de la gestión de riesgos. Esto significa que se trata de una labor que exige constantes revalorizaciones y cambios para ser eficaz, ya que está regida por factores culturales, tecnológicos, de mercado, legales, etc.

Esto puede ocurrir de forma distinta en diferentes niveles de la organización. Las directrices para la identificación, el análisis y la evaluación del riesgo han quedado más claras en esta nueva versión, que facilita la comprensión sobre cómo hacerlo.

Sin embargo, el estándar ya no indica herramientas o métodos específicos, ya que la gestión de riesgos debe estar alineada con el contexto de la organización, que utiliza como referencia ISO 31010, norma sobre técnicas para evaluación de riesgos.

El enfoque sobre la documentación del proceso de gestión de riesgos y sus resultados es ahora más flexible, resaltando la necesidad de evaluar la pertinencia de las informaciones y la relación costo-beneficio de la creación, mantenimiento y retención de información documentada.

En la versión 2018 ya no existen datos adjuntos que expliquen los atributos de una gestión de riesgos avanzada, como en la edición anterior. Podemos concluir que ISO 31000 viene ahora con un tomo más organizacional o estratégico y menos detallado, probablemente debido a que los redactores creen que algunos aspectos ya han madurado en la mayoría de las organizaciones, lo que hace innecesarias determinadas explicaciones, orientaciones o justificaciones.

Los principales cambios en ISO 31000:2018 refuerzan la idea de que la gestión de riesgos es algo intrínseco a la organización, por medio del liderazgo, la cultura, la integración con los procesos y la implicación de los empleados.

Curso ISO 31000 Gestión de Riesgos

Una forma de conocer los principales cambios en ISO 3100:2018 es tomar el curso ISO 31000 Gestión de Riesgos, impartido por la Escuela Europea de Excelencia. Este programa ofrece recursos como vídeos explicativos, documentos de interés, casos prácticos y, por supuesto, el texto completo de la norma.

Tomar una plaza en este programa de formación esencial es muy fácil. Puede inscribirse aquí

.