Hablar de un programa de gestión de riesgos resulta atractivo e interesante en cualquier organización. Sin embargo, cuando se afrontan importantes tareas y el tiempo se vuelve lo más preciado, como le sucede a la alta dirección, querer zanjar el tema de la gestión de riesgos cuanto antes puede ser lo más habitual.

Es comprensible que los gerentes y ejecutivos prefieran hablar de finanzas y de modelos de negocios eficientes. Así, involucrar a la alta dirección en la implementación de un programa de gestión de riesgos requiere adoptar estrategias creativas.

4 Estrategias para involucrar a la alta dirección en un programa de gestión de riesgos

Al CEO de la organización no le interesa hablar sobre los modelos de análisis de riesgos, del modelo de espina de pescado o de los 5 porqués. La persona que dirige una organización, y su equipo de trabajo, se interesa en temas puntuales y precisos, que se puedan traducir en cifras económicas. Así, estas cuatro estrategias han sido desarrolladas siguiendo esa premisa:

La importancia de los riesgos inteligentes

Cada organización, dependiendo de su origen, su complejidad y el sector en el que opera, tiene un “apetito” de riesgo diferente. Esto significa que puede tener un nivel de tolerancia ante determinados riesgos, que está dispuesta a aceptar cierto grado de incertidumbre.

Normalmente, estas diferencias se deben a que algunas organizaciones encuentran mayores oportunidades en los riesgos que otras. En esto se basa el concepto de riesgo inteligente, hoy aceptado en los modelos de negocios del siglo XXI. Pero lo interesante, en el caso que nos ocupa, es que la alta dirección entienda que la única forma de identificar, calificar y aprovechar estos riesgos es implementando un programa de gestión de riesgos.

El impacto financiero de un programa de gestión de riesgos

Regresamos a la premisa básica que marca la comunicación con los gerentes y ejecutivos: recalcar la importancia de las cifras y del ahorro de dinero. Para los profesionales en gestión de riesgos resulta evidente que su trabajo se traduce en una disminución de costes y ahorro de dinero en áreas como seguridad y salud en el trabajo, la calidad, la gestión ambiental o la seguridad de la información, solo por mencionar algunas de las más relevantes.

Pero el CEO de la organización tal vez no lo tenga tan claro. Por supuesto, la idea no es explicarle la teoría completa de la gestión de riesgos. Dos o tres casos puntuales, con cifras concretas, bastarán para captar su interés en el programa de gestión de riesgos.

Interesar a la #AltaDirección en un programa de #GestiónDeRiesgos no es fácil. Conozca 4 estrategias interesantes para lograrlo.
Compartir en X

Realizar una presentación simple y fácil de entender

Los profesionales en gestión de riesgos suelen cometer un error al presentar el proyecto de gestión de riesgos ante la alta dirección: con la pretensión de impresionarlos, hacen uso de toda su “artillería”. En este sentido, utilizan un vocabulario técnico incomprensible y exhiben complejos modelos de análisis que solo entienden ellos. Pero esto, más que impresionar, generará el desinterés del director.

La presentación del programa de gestión de riesgos debe ser corta, concreta, entendible para cualquier persona y debe hacer énfasis en sus beneficios, especialmente en el retorno de la inversión. De este modo, la alta dirección se sentirá interesada y verá que no requiere tanto tiempo atender a este programa.

Evitar la alarma y el sensacionalismo

Muchos de los que trabajamos en el área de gestión de riesgos tratamos de dramatizar y exagerar las consecuencias de algunos riesgos con el fin de motivar y presionar el apoyo de la alta dirección para el proyecto. Nada es más contraproducente.

No olvidemos que la persona que más conoce el negocio, la organización y su gente es la que está frente a nosotros. La alta dirección no necesita escenarios dramáticos para tomar decisiones. Necesita conocer los hechos y las cifras reales.

Un consejo adicional final

El liderazgo y el apoyo a los diversos sistemas de gestión basados en normas ISO es un requisito, y en el área específica de seguridad y salud en el trabajo, es una obligación normativa legal. Es importante que la alta dirección entienda que este no es un capricho.

Los profesionales de la gestión de riesgos, la organización, sus empleados, sus clientes y sus proveedores, requieren del apoyo decidido de la alta dirección para la implementación de un programa de gestión de riesgos.

Curso ISO 31000:2018 Gestión de Riesgos

La gestión de riesgos es un área que requiere la atención de profesionales especializados y altamente cualificados. Entendiéndolo así, la Escuela Europea de Excelencia oferta el Curso ISO 31000:2018 Gestión de Riesgos. Este programa de formación se encuentra actualizado a la más reciente edición de ISO 31000, la norma utilizada en todo el mundo como modelo de referencia para la gestión de riesgos.

Si le interesa este programa, puede reservar su plaza aquí.

La entrada Programa de gestión de riesgos: formas para involucrar a la alta dirección se publicó primero en Escuela Europea de Excelencia.

Tanto la evaluación como el plan de respuesta a riesgos se deben revisar periódicamente. Esto es debido a que la gestión de riesgos es una tarea siempre vigente porque estos son dinámicos. Siempre tenemos que estar alerta ante la aparición de nuevos riesgos, al cambio de algunos de ellos, y, algunas veces, a la extinción de otros.

En este proceso cíclico, el plan de respuesta a riesgos debe atender a los resultados de la evaluación, que, a su vez, se fundamentan en la identificación precedente. Y reaccionar en consecuencia de modo proporcionado.

¿Porque es necesario actualizar el plan de respuesta a riesgos?

Veamos un ejemplo: una organización identifica el riesgo de que sus archivos, guardados en las instalaciones, puedan perderse como consecuencia de un incendio, una inundación u otro fenómeno natural.

La evaluación del riesgo da como resultado que es de probabilidad media, con un muy alto impacto negativo en caso de ocurrir. Así, la organización, dentro de su plan de respuesta a riesgos, decide que puede minimizarlo y compartirlo.

Gracias a las acciones emprendidas, la organización digitaliza toda su información, contrata un software de gestión ubicado en la nube, que le garantiza backups varias veces al día. Y, por si acaso, los archivos aún se conservan en papel, en dependencias seguras fuera de las instalaciones de la organización.

Con ello, en la evaluación de riesgos un año después, se determina que ese riesgo ha dejado de existir. Pero se tienen que tener en cuenta, ahora, otros: el de pérdida de la información en la nube o el de que el proveedor tenga problemas para cumplir con su obligación de obtener copias diarias de los archivos. Este nuevo es un riesgo de baja probabilidad de ocurrencia, que tendría un impacto mínimo, pues la organización ha decidido conservar copias en otra ubicación, y, además, siempre contará con los archivos originales en papel.

Como vemos los riesgos son dinámicos: mutan, aparecen, desaparecen, aumentan o disminuyen su probabilidad de ocurrencia y también su impacto. Por ello, la tarea de implementar un plan de respuesta a riesgos se realiza de forma periódica de modo anual o semestral.

4 Estrategias para seguir en un plan de respuesta a riesgos

Las estrategias dentro de un plan de respuesta a riesgos tienen que ver básicamente con el apetito de riesgo de la organización. Esto significa que, al igual que algunas personas buscan la seguridad de un empleo estable para toda la vida y otras se lanzan a la aventura, unas organizaciones prefieren “digerir” algunas cosas y otras no.

Así, ya sea por su naturaleza, por el sector económico en el que se desenvuelvan o sencillamente por su política de negocios, pueden estar dispuestas a “vivir en el peligro” o, en caso contrario, a trabajar en un paraíso de seguridad.

En cualquier caso, siempre es necesario contemplar 4 estrategias a las que acuden los profesionales a la hora de formular un plan de respuesta para el tratamiento de los riesgos:

Estrategia 1. Evitar o eliminar el riesgo

En este caso, se implementan las acciones para hacer que las condiciones o los factores que pueden generar el riesgo desaparezcan, y con ellos, el riesgo. Esta es una opción para aquellos casos de alta probabilidad de ocurrencia, con un muy alto impacto negativo.

Al formular un #PlanRespuestaRiesgos podemos hacer uso de algunas estrategias. Conozcamos hoy las cuatro principales.
Compartir en X

Estrategia 2. Reducir o mitigar

No siempre es posible eliminar el riesgo. O, quizás, eliminarlo completamente resulta mucho más costoso que las consecuencias negativas de que este llegara a suceder. En esos casos, procedemos a implementar acciones para reducir o mitigar.

En los supermercados, el robo por parte de los clientes o de los empleados es una circunstancia latente, de alta probabilidad y, sumados todos los casos, de alto impacto económico. Pero es muy difícil de eliminar. Es el típico riesgo que se trata con acciones que disminuyen su efecto: guardias de seguridad, cámaras…

Estrategia 3. Transferir o compartir

Esto significa que pasamos el problema a alguien más. En nuestro primer ejemplo sobre el peligro de los archivos, la organización no cuenta inicialmente con las herramientas y los mecanismos para preservar con seguridad su información documentada. Así, decide “transferir” el problema a proveedores.

Pero esta no es la única forma de transferir o compartir un riesgo. La más usual es contratar una póliza de seguros que indemnice a la organización en caso de que se presente el problema.

Estrategia 4. Aceptar el riesgo

Finalmente, cuando no tenemos otra opción, debemos aceptar el riesgo. Se trata de no hacer nada. Simplemente, sabemos que no tenemos como evitarlo y debemos convivir con él. Las organizaciones deciden aceptar un riesgo, cuando este es de muy baja probabilidad de ocurrencia. La posibilidad de que las instalaciones de la organización sean destruidas por un terremoto, es un ejemplo de ello.

Curso ISO 31000:2018 Gestión de Riesgos

Un riesgo a tener en cuenta es que en las organizaciones no existan profesionales formados en estándares internacionales sobre prevención y tratamiento de riesgos. Y este se puede evitar o eliminar fácilmente: mediante el Curso ISO 31000:2018 Gestión de Riesgos. 

En él los profesionales aprenden a gestionar con herramientas metodológicas específicas los diferentes riesgos y oportunidades que pueden surgir. Además, cuentan con el acceso a recursos de gran utilidad y con la ayuda de expertos para resolver cualquier inquietud.

Consiga que su organización esté preparada ante cualquier riesgo realizando este curso con la Escuela Europea de Excelencia. 

La entrada Plan de respuesta a riesgos: 4 estrategias a seguir tras la evaluación se publicó primero en Escuela Europea de Excelencia.

Algunos creen que la gestión de riesgos es una tarea que solo requiere pensar y, como mucho, alguna hoja de papel para exponer algunas notas. Sin embargo, contar con los recursos necesarios para gestionar el riesgo es una cuestión prioritaria y además una responsabilidad de la alta dirección. Así figura en todas las normas ISO de reciente publicación que tocan el tema: ISO 31000, ISO 9001, ISO 45001, ISO 14001…

Por tanto, se han de asignar los recursos necesarios para gestionar el riesgo. Pero, ¿cómo sabemos cuáles son esos recursos que se precisan? Lo explicamos seguidamente.

Asignación de los recursos necesarios para gestionar el riesgo

Para establecer cuáles son los recursos necesarios para gestionar el riesgo es preciso elaborar un plan de gestión de riesgos. El objetivo del plan es definir cómo, cuándo y dónde se llevará a cabo la tarea, lo que permitirá determinar los recursos necesarios para adelantarla.

El principal beneficio del plan es garantizar que el grado, el tipo y la visibilidad de la gestión de riesgos sea proporcional a la importancia del riesgo y a los recursos que se inviertan. Lógicamente no tiene sentido gastar recursos para gestionar riesgos que no tienen mayor relevancia, cuyo impacto es mínimo o la probabilidad de ocurrencia muy escasa.

Una vez elaborado el plan, y con respecto a la asignación de recursos necesarios para gestionar el riesgo, debemos aplicar consideraciones relativas al contexto interno y externo de la organización. En particular debemos considerar los siguientes puntos:

Personas responsables de la gestión del riesgo

• ¿Tienen experiencia y conocimientos técnicos para realizar la labor?
• ¿Cuentan con habilidades de percepción de riesgos, análisis y resolución de problemas?
• ¿Tienen conocimientos sobre finanzas corporativas, modelos financieros y estadística?

Si la respuesta a estas preguntas es sí, no habrá que destinar recursos para suplir necesidades de formación. De lo contrario, es preciso elaborar un plan de formación y capacitación que elimine la brecha de conocimiento evidenciada.

La #GestiónRiesgos es una tarea que requiere recursos. ¿Cuántos y de que tipo? Aprenda, además, la forma de determinarlos.
Compartir en X

Roles y responsabilidades del equipo de gestión de riesgos

• ¿Requerirá el equipo de un apoyo metodológico, elaborar análisis de riesgos, producir informes?
• ¿Necesitarán contar con herramientas de comunicación?
• ¿Será necesario capacitar y formar a otras personas?

Tiempo dedicado a la gestión de riesgos

• ¿Se ha considerado cuánto tiempo se dedicará a la evaluación y análisis de riesgos y posteriormente a la gestión de riesgos?
• ¿Se necesitará tiempo para modificar procesos actuales?
• ¿La alta dirección tendrá que destinar tiempo a la discusión y aprobación de decisiones tomadas por los profesionales del riesgo?
• ¿Se ha calculado el tiempo estimado que se destinará a las actividades de supervisión y monitoreo?

Con la respuesta a los interrogantes de estos puntos se tendrán los elementos de juicio necesarios para elaborar un presupuesto de los recursos para gestionar el riesgo. La solicitud del presupuesto, por parte de los profesionales del riesgo, debe ir acompañada de un análisis coste-beneficio.

La alta dirección necesita saber qué implica la inversión realizada y, de ser posible, en cuánto tiempo retornará la misma. Pues será desde ese puesto desde donde deberán ser asignados dichos recursos humanos, técnicos, económicos y formativos como demostración de su compromiso y liderazgo con el sistema.

Curso ISO 31000:2018 Gestión de Riesgos

En muchas ocasiones, a la hora de asignar los recursos necesarios para la gestionar el riesgo, se ponen en evidencia la necesidades formativas. Para cubrirlas cómodamente, la Escuela Europea de Excelencia propone el Curso ISO 31000:2018 Gestión de Riesgos.

Este enseña a sus estudiantes a identificar, evaluar y gestionar los riesgos y oportunidades por medio de herramientas metodológicas eficaces y de acuerdo al estándar ISO 31000. Los alumnos contarán, además, con acceso a la propia norma y a materiales exclusivos, y siempre con el apoyo de docentes expertos.

No dude en conseguir la formación que necesita en gestión de riesgos, reservando una plaza de este curso aquí. 

La entrada ¿Se asignan los recursos necesarios para gestionar el riesgo? se publicó primero en Escuela Europea de Excelencia.

Los gestores responsables del área de riesgos necesitan mantener un ambiente de operación seguro y libre de incertidumbre. Para ello puede ser de gran utilidad conocer las diferencias entre incidentes y problemas, pues esta cuestión resulta altamente recurrente en la gestión de riesgos.

Lo cierto es que la gestión de incidentes y la gestión de problemas, son parte esencial de cualquier buen programa de gestión de riesgos. Por este motivo, hoy abordaremos la diferencia entre ambos,  lo que puede evitar la toma de ciertas decisiones erróneas a algunos profesionales de la gestión de riesgos.

Diferencias entre incidentes y problemas

Un incidente es una suspensión no programada de la producción o de los procesos que generan la prestación de un servicio. También puede ser una disminución temporal de la calidad del producto o servicio ofrecido, en determinadas áreas, o incluso, en toda la organización.

La dificultad o imposibilidad de generar un informe, el acceso limitado a un determinado sitio o el impedimento para realizar alguna tarea que afecta a la calidad, pueden ser calificados con el nombre de incidentes.

El incidente es un evento que no forma parte de la rutina de operación dentro de la organización. Por ello, su carácter es individual y único y debe gestionarse de inmediato.

El problema, por su parte, es la causa desconocida de uno o más incidentes. Se identifica, por tanto, con la causa raíz, que es la responsable última de la ocurrencia de incidentes. Debe ser bien analizada para garantizar su solución.

Entendiendo estas diferencias entre incidentes y problemas, podemos comprender que la solución inmediata del incidente, aunque deseable, no significa asegurar la no repetición.  Por el contrario, debemos identificar el problema y tratar el riesgo solucionando la causa raíz para que en el futuro el incidente no ocurra de nuevo.

Un ejemplo práctico de las diferencias entre incidentes y problemas

A modo de ilustración, vamos a imaginar una organización que posee una fábrica en una ciudad interior. El sistema de producción es centralizado y la provisión de materias primas se realiza por vía terrestre.

Supongamos que, en un día determinado, las materias primas no llegan a la planta, lo que conduce a la paralización de la producción. Este es un incidente que debe gestionase con máxima urgencia. Inmediatamente se descubre que, debido a un accidente en la vía de uso habitual, no es posible el paso de los vehículos que transportan las materias primas.

La solución parte de que los vehículos detenidos regresen hasta el punto más próximo que les permita conmutar con una vía alternativa, aunque esta resulte un poco más larga. Esta es la solución al incidente y con ella no se asegura que no suceda de nuevo.

Pero el objetivo final es evitar que el incidente se presente de nuevo. Por lo que, una posible solución al problema sería utilizar de modo general y en algún grado varias vías de forma alterna. Esto impediría que una obstrucción de una de ellas cortase totalmente el suministro de materiales en la planta de producción.

Otra acción correctiva para solucionar el problema podría ser ampliar la capacidad de almacenaje de la planta. De ese modo,  se podría seguir trabajando varios días ante la falta de suministro eventual. O también sería una opción la implementación de una vía diferente para la llegada de materiales en situaciones de urgencia, aérea, por ejemplo, si es que fuera posible.

En la #GestiónRiesgos es común confundir el incidente con el problema. Por eso hoy tratamos las diferencias entre #IncidentesYProblemas.
Compartir en X

La gestión de incidentes y problemas

Las diferencias entre incidentes y problemas son notables, como vemos. Los incidentes ocurren a causa de un evento disparador que debe ser hallado y solucionado de inmediato. No hay tiempo para investigar o realizar complejas operaciones de gestión de riesgos, más allá de registrar el incidente en el instante. Lo que cuenta es la capacidad que tienen los profesionales para reaccionar y solucionar la situación en el momento. El propósito urgente es reestablecer la operación o los niveles de calidad óptimos.

La gestión de problemas, por el contrario, debe ser reflexiva, enfocarse en saber por qué ocurrió el incidente, analizar la situación y evaluar las opciones de gestión de riesgos. De este modo, se tomará la acción adecuada para asegurar la no repetición futura.

Curso ISO 31000:2018 Gestión de Riesgos

Para los interesados en la gestión de riesgos, la Escuela Europea de Excelencia presenta el Curso ISO 31000:2018 Gestión de Riesgos. Se trata de un programa de gran calidad y basado en el enfoque práctico con el que se alcanza el dominio de las herramientas más eficaces para la gestión de riesgos.

Si es uno de esos interesados y desea formarse en esta materia, no dude en inscribirse ahora en este curso.

La entrada Gestión de riesgos: diferencias entre incidentes y problemas se publicó primero en Escuela Europea de Excelencia.

Son muchos los riesgos que pueden amenazar el éxito de los objetivos de una organización  en materia de calidad, gestión ambiental o seguridad y salud en el trabajo, entre otros. Pero las aplicaciones de la gestión de riesgos se encuentran también en la operación, los procesos, los proyectos actuales y futuros de la organización y sus iniciativas estratégicas.

Son tan diversas las aplicaciones de la gestión de riesgos dentro de las organizaciones, que sus efectos se ven reflejados en áreas sociales, financieras, económicas, e incluso, en la reputación e imagen de marca de la organización.

Hoy vamos un poco más allá de su importancia para la implementación y mantenimiento de sistemas basados en normas ISO. Y nos adentramos, así, en las aplicaciones de la gestión de riesgos en distintas áreas y proyectos de la organización. 

Aplicaciones de la gestión de riesgos dentro de la organización

La gestión de riesgos en una organización es la metodología que se utiliza para identificar, clasificar, priorizar y administrar todos los eventos que pueden tener un impacto negativo para el logro de determinados objetivos. Este enfoque integrado facilita la labor de quienes trabajan en los diferentes sistemas de gestión que implementa una organización.

Además, dentro de la organización, las aplicaciones de la gestión de riesgos intervienen en las siguientes áreas:

Diseño y desarrollo de estrategias

Un buen proceso de gestión de riesgos aumenta la capacidad de la organización para alcanzar sus objetivos. Y lo hace porque permite salvar o sobrepasar los obstáculos que impiden el logro de las metas propuestas en una estrategia comercial, social, cultural u organizacional.

Gestión de proyectos

La gestión de riesgos es un aspecto importante en la gestión de proyectos. De hecho, una de las diez competencias que califican a un jefe de proyecto es el conocimiento y la experiencia en gestión de riesgos.

Gobernanza y cumplimiento

Las organizaciones han venido trabajando con la gestión de riesgos separada de aquellas iniciativas corporativas que pretenden asegurar el cumplimiento de la organización y la mejora de la imagen de marca.

Ahora, con el creciente enfoque en el gobierno corporativo, todas estas iniciativas hacen uso de la gestión de riesgos como herramienta válida para asegurar la sostenibilidad, la eficiencia, la consistencia y la conformidad. De este modo, llegan a un nuevo modelo conocido como GRC (Gobernanza, Riesgos y Cumplimiento).

La #GestiónRiesgos tiene muchas aplicaciones dentro de las organizaciones modernas. Conozcamos hoy algunas de las más importantes.
Compartir en X

Salud, seguridad y medio ambiente

Para promover un entorno de trabajo seguro y mantener la conformidad con normas ISO como ISO 45001 e ISO 14001, las organizaciones deben identificar, priorizar y eliminar o minimizar de forma oportuna todos los incidentes que pueden ocurrir. La mejor forma de hacerlo es sin duda utilizando la gestión de riesgos según ISO 31000.

Procesos

La transparencia en los procesos es el corazón de la conformidad reglamentaria y de la gestión de la calidad. Si no está clara la forma en que una organización desarrolla sus negocios, difícilmente podrá implementar controles, formular políticas, diseñar procedimientos y realizar auditorías que den soporte y contribuyan a la excelencia operacional.

Por eso, la gestión de riesgos adquiere especial importancia para la optimización de los procesos de negocios.

Activos y bienes

La gestión de activos basada en riesgos es una disciplina que ha crecido de forma notable en años recientes. Es una herramienta que ha demostrado eficacia, no tanto por reducir los riesgos o su impacto, sino por la capacidad que tiene para equilibrar el desempeño operacional de los activos con el coste del ciclo de vida de los mismos.

Cultura del enfoque basado en el riesgo

La gestión de riesgos ha incursionado con éxito en todas las áreas de la organización moderna. Y es que, con pequeñas variaciones, los fundamentos son los mismos, y por ello, es posible hacer un uso unificado de ella.

Así, todas las áreas utilizan el mismo lenguaje para hablar de riesgos y compartir experiencias, creando una verdadera cultura del enfoque basado en el riesgo.

Curso ISO 31000:2018 Gestión de Riesgos

Conocemos ahora las principales aplicaciones de la gestión de riesgos dentro de la organización. Pero este es un tema muy amplio y complejo. De hecho, ISO ha publicado una nueva edición de su estándar especializado en gestión de riesgos: ISO 31000:2018.

Debido al papel esencial que tiene esta cuestión en todas las áreas de la organización, la Escuela Europea de Excelencia ha diseñado el Curso ISO 31000:2018 Gestión de Riesgos. Consiste en un programa de alta calidad que entrega al estudiante las herramientas necesarias para alinear la gestión de riesgos con cualquier sistema utilizado en la organización.

Se fundamenta en casos prácticos, herramientas y contenidos especializados de la mano de docentes calificados a nivel europeo. Consiga aquí su plaza.

La entrada Principales aplicaciones de la gestión de riesgos dentro de las organizaciones se publicó primero en Escuela Europea de Excelencia.

La nueva ISO 31000:2018 considera riesgos como el daño a la reputación, el delito cibernético o el riesgo político, contingencias que organizaciones de todos los tipos y tamaño deben enfrentar a diario en cualquier lugar del mundo.

Pese a ello, la nueva ISO 31000:2018 mantiene una gestión de riesgos simple, pero manteniendo un enfoque estructurado. Así, un alto ejecutivo que trabaje para el gobierno, puede considerar riesgos asociados con situaciones políticas y geográficas muy complejas, en tanto que un gerente comercial de una sucursal en una pequeña ciudad, solo debe evaluar el riesgo que implican los nuevos productos que ofertan sus competidores.

Nueva ISO 31000:2018 – La evolución de esta revisión

La nueva ISO 31000:2018 entiende que las prácticas de gestión de riesgos de ayer, pueden no ser efectivas para enfrentar las amenazas a las que están expuestas las organizaciones del siglo XXI. Por ello, es preciso evolucionar y este es uno de los propósitos de la nueva revisión de la norma ISO 31000.

La nueva ISO 31000:2018 ofrece una guía clara, concisa y breve que hace de la gestión de riesgos una labor simple y sencilla. Con respecto a la edición anterior, estos son los principales cambios:

• Se hace una revisión de los principios de la gestión de riesgos, como criterios clave para el éxito del Sistema.
• Se concede especial importancia al liderazgo de la Alta Dirección, como mecanismo que garantiza la integración de la gestión de riesgos con todas las actividades de la organización.
• Se concede mayor importancia a la naturaleza iterativa de la gestión de riesgos, aprovechando las experiencias, el análisis y el conocimiento adquirido para la implementación de controles y el diseño de acciones correctivas y preventivas.
• Optimización del contenido con un mayor enfoque en el mantenimiento de un moldeo de sistemas abiertos que se retroalimentan con su contexto externo para adaptarse a múltiples necesidades.

---

Se ha publicado la nueva #ISO31000 versión 2018 revisión que se considera simple y de fácil comprensión. Entienda con este artículo por qué.
Compartir en X

---

Nueva ISO 31000:2018 – Una norma simple pero eficaz

Cada sección de la norma se ha revisado con el ánimo de imprimir mayor claridad, utilizando un lenguaje simple y de fácil comprensión para hacerla comprensible y accesible a todos los interesados.

La nueva ISO 31000:2018 se enfoca en crear y proteger el valor, como impulsor clave de la gestión del riesgo, y presenta otros principios relacionados – presentes en otras normas ISO – como la mejora continua, la importancia de las partes interesadas y el contexto interno y externo de la organización.

La definición del riesgo en la nueva ISO 31000:2018

El riesgo ahora se define como el “efecto de la incertidumbre”, y se centra en el efecto del conocimiento incompleto de los eventos o las circunstancias en la toma de decisiones de una organización.

Esto implica asumir un cambio en la comprensión tradicional del riesgo, lo que obliga a las organizaciones a adaptar la gestión de riesgos a sus necesidades y objetivos, lo cual se convierte en un beneficio adicional de la norma.

ISO 31000 proporciona un marco de gestión de riesgos que respalda todas las actividades, en especial la toma de decisiones en todas las áreas de la organización.

El resultado final es una nueva norma que va más allá de una simple revisión y le da un nuevo significado a la forma en que se administrará el riesgo en el futuro. Sabemos que ISO 31000 no requiere certificación. Se trata de un estándar que propone directrices más no requisitos. Esto le da a los líderes del sistema flexibilidad para implementar el estándar, de manera que se adapte fácilmente a los objetivos y necesidades de la organización.

Curso ISO 31000:2018 Gestión de Riesgos

La Escuela Europea de Excelencia, pensando en los profesionales del riesgo que deben afrontar la tarea de implementar la nueva ISO 31000:2018, ha dispuesto el Curso ISO 31000:2018 Gestión de Riesgos, como una forma de facilitar la comprensión de esta revisión y las novedades que incorpora.

Si su organización requiere actualizar a sus profesionales del riesgo en este nuevo estándar, puede inscribirse en este curso aquí.

La entrada La nueva ISO 31000:2018 mantiene la gestión de riesgos simple se publicó primero en Escuela Europea de Excelencia.

ISO 31000:2018 solo formula recomendaciones y eso significa que no permite la implementación de un sistema de gestión certificable. No obstante, los principales cambios en ISO 31000:2018 resultan importantes ya que se alinean con el enfoque basado en el riesgo, presente en normas como ISO 9001 e ISO 14001.

Principales cambios en ISO 31000:2018 – La estructura

Es importante mencionar que en esta versión, ISO tuvo el propósito de entregar una norma clara, objetiva y sucinta —apenas 16 páginas—, lo cual ya representa una gran diferencia con respecto a su antecesora del año 2009.

El documento, que está dividido en cuatro secciones, a primera vista proporciona cambios estructurales interesantes:

• Lenguaje actualizado y simplificado dentro de una estructura de referencias renovada.
• Énfasis a lo largo de toda la norma sobre el papel de liderazgo de la Alta Dirección y la responsabilidad que debe asumir para garantizar que la gestión de riesgos se integre en todos los niveles de la organización.
• Mayor atención a la naturaleza dinámica y cambiante de la gestión de riesgos, que exige la necesidad de que las organizaciones evalúen sus riesgos y sus impactos, a la luz de nuevas circunstancias o factores en el contexto externo o interno, pero también como respuesta a comentarios sobre brechas que se detecten en los procesos de riesgo actuales o en sus controles asociados.

Principales cambios en ISO 31000:2018 – Revisando la norma

El documento, que como ya hemos anotado consta de 16 páginas divididas en 4 secciones, nos presenta las siguientes novedades:

La introducción

Ahora es más sucinta y objetiva. Incluye una imagen con diagramas que explican la interrelación entre los principios, estructura y proceso. En la versión 2009 parecía que el único objetivo de la introducción era convencer a los lectores de que gestionar riesgos era algo positivo a la organización, concepto este que, sin ser erróneo, parece ser un poco obvio.

Términos y definiciones

En este punto la reducción queda más clara aún. En la versión 2009 había 29 ítems, en tanto que la edición de 2018 nos ofrece solo 8. Es importante resaltar que los términos no han “desaparecido”, solo se omite su mención, y si algún usuario desea consultar un término o definición presente en la norma, puede recurrir al anexo Guía 73 – Gestión de riesgos – Vocabulario.

Principios

También hubo reducción en cuanto a los principios, que de 11 presentes en la versión 2009, pasan a 8 en la edición de 2018. A pesar de la reducción, los conceptos esenciales se mantienen ya que los principios ausentes han sido incluidos a lo largo de la norma.

Conozca los principales cambios en #ISO31000 versión 2018 y su repercusión en la #GestiónRiesgos
Compartir en X

Estructura

A partir de este punto, la redacción de los ítems ha cambiado bastante, pero sin muchas alteraciones de fondo en su significado. A pesar de ello, algunas ideas ganaron más visibilidad que en la versión anterior:

• Posicionamiento del liderazgo. Al igual que con otras normas ISO de reciente publicación, el liderazgo de la Alta Dirección se considera esencial para la asignación de responsabilidades de las actividades y el cambio de cultura en la organización, por medio de la declaración de compromiso.
• Supervisión sistémica. En la nueva edición de ISO 31000, se especifica la necesidad de garantizar que los sistemas estén en marcha para gestionar los riesgos y operar con eficacia, admitiendo que estos pueden ser automatizados o no.
• Contexto organizacional. Al analizar el contexto de la organización, se incluyen como factores a considerar la complejidad de las redes sociales y la dependencia de otras partes interesadas.
• Comunicación y consulta. Se hace hincapié en la importancia de la comunicación y consulta con las partes interesadas de manera general. Sin embargo, se destaca la importancia de desarrollar mejoras en la información basada en datos recogidos por medio de consultas.
• Aplicación. La nueva formulación está enfocada hacia la planificación de la estructura, la eliminación de citas objetivas para el mantenimiento de registros y el cumplimiento de los mismos requisitos legales, que ya estaban presentes en la versión anterior.

Procesos

El proceso de gestión de riesgos implica la aplicación de políticas y prácticas alineada con lo que se ha definido durante la estructuración. En este punto de la norma, así como en la anterior, se describen algunas recomendaciones prácticas como las actividades necesarias para el proceso de gestión de riesgos.

El énfasis en la versión 2018 de ISO 31000

La edición 2018 enfatiza en el carácter dinámico de la gestión de riesgos. Esto significa que se trata de una labor que exige constantes revalorizaciones y cambios para ser eficaz, ya que está regida por factores culturales, tecnológicos, de mercado, legales, etc.

Esto puede ocurrir de forma distinta en diferentes niveles de la organización. Las directrices para la identificación, el análisis y la evaluación del riesgo han quedado más claras en esta nueva versión, que facilita la comprensión sobre cómo hacerlo.

Sin embargo, el estándar ya no indica herramientas o métodos específicos, ya que la gestión de riesgos debe estar alineada con el contexto de la organización, que utiliza como referencia ISO 31010, norma sobre técnicas para evaluación de riesgos.

El enfoque sobre la documentación del proceso de gestión de riesgos y sus resultados es ahora más flexible, resaltando la necesidad de evaluar la pertinencia de las informaciones y la relación costo-beneficio de la creación, mantenimiento y retención de información documentada.

En la versión 2018 ya no existen datos adjuntos que expliquen los atributos de una gestión de riesgos avanzada, como en la edición anterior. Podemos concluir que ISO 31000 viene ahora con un tomo más organizacional o estratégico y menos detallado, probablemente debido a que los redactores creen que algunos aspectos ya han madurado en la mayoría de las organizaciones, lo que hace innecesarias determinadas explicaciones, orientaciones o justificaciones.

Los principales cambios en ISO 31000:2018 refuerzan la idea de que la gestión de riesgos es algo intrínseco a la organización, por medio del liderazgo, la cultura, la integración con los procesos y la implicación de los empleados.

Curso ISO 31000 Gestión de Riesgos

Una forma de conocer los principales cambios en ISO 3100:2018 es tomar el curso ISO 31000 Gestión de Riesgos, impartido por la Escuela Europea de Excelencia. Este programa ofrece recursos como vídeos explicativos, documentos de interés, casos prácticos y, por supuesto, el texto completo de la norma.

Tomar una plaza en este programa de formación esencial es muy fácil. Puede inscribirse aquí

.

La entrada Principales cambios en ISO 31000:2018 – Gestión de Riesgos se publicó primero en Escuela Europea de Excelencia.

El examen del contexto externo de la organización —con el fin de definir un marco para la gestión del riesgo en ISO 31000:2018— puede incluir, entre otros elementos, los siguientes:

Marco para la gestión del riesgo en ISO 31000:2018 – Los elementos del contexto interno y externo

El contexto interno puede examinarse de acuerdo con los siguientes factores:

• Factores sociales, culturales, políticos, legales, regulatorios, financieros, tecnológicos, económicos y ambientales.
• Factores internacionales, nacionales, regionales o locales.
• Tendencias que afectan los objetivos de la organización.
• Relaciones, percepciones, valores, necesidades y expectativas de las partes interesadas externas.
• Relaciones contractuales y compromisos.
• Complejidad de redes y dependencia de ellas.

Así, el contexto interno también puede ser examinado de acuerdo con elementos particulares:

• Misión, visión y valores de la organización.
• Estructura organizacional, autoridad, roles y responsabilidades.
• Cultura de la organización.
• Normas, directrices y modelos adoptados por la organización.
• Recursos como conocimiento, capital, tiempo, personas y tecnologías.
• Información, datos, sistemas de información y flujo de información.
• Relaciones con las partes interesadas internas, teniendo en cuenta sus percepciones y sus valores.
• Relaciones contractuales y compromisos.
• Interdependencias e interconexiones.

Aprenda a diseñar el Marco para la #GestiónRiesgos en #ISO31000
Compartir en X

Marco para la gestión del riesgo en ISO 31000:2018 – Compromiso

La Alta Dirección y los órganos superiores de gestión y supervisión, cada uno desde su posición, deben demostrar y articular su compromiso continuo con la gestión de riesgos. Esto se logra por medio de una política, una declaración o cualquier otra forma, que transmita con claridad los objetivos de una organización y su compromiso con la gestión de riesgos.

Tal declaración, aunque no está limitada a estos aspectos, debería incluir:

• El propósito de la organización para gestionar el riesgo y la forma en que esto se alinea con sus objetivos y otras políticas.
• El refuerzo ante la necesidad de integrar la gestión de riesgos en la cultura general de la organización.
• El liderazgo de la integración de la gestión de riesgos en actividades comerciales centrales y en la toma de decisiones.
• Autoridades y responsabilidades.
• Aseguramiento de los recursos necesarios.
• La forma en que se abordan los objetivos conflictivos.
• Medición y presentación de informes, dentro de los indicadores de desempeño de la organización, que indiquen la mejora continua.

El compromiso de la gestión de riesgos debe comunicarse dentro de la organización y a las partes interesadas según resulte procedente.

Asignación de roles, autoridades y responsabilidades

El marco para la gestión de riesgo en ISO 31000:2018 debe considerar la asignación de responsabilidades y niveles de autoridad. Los órganos superiores de gestión y supervisión -como la Alta Dirección- deben garantizar que se asignen las autoridades y las responsabilidades con respecto a la gestión de riesgos y comunicarlos a todos los niveles de la organización enfatizando que la responsabilidad central es de todos sus miembros.

Así mismo, es necesario identificar a las personas que tienen algún nivel de autoridad o una responsabilidad dentro de la gestión de riesgos.

Asignación de recursos

Los órganos superiores de gestión y supervisión también deben garantizar la asignación de recursos, que deben incluir entre otros: recursos humanos, herramientas, procesos y métodos, sistemas de gestión de información y conocimiento, y programas de capacitación y formación.

Curso ISO 31000 Gestión de Riesgos

Como hemos anotado en el párrafo anterior, uno de los recursos que se requieren para el diseño del marco para la gestión del riesgo en ISO 31000:2018, es la formación y la capacitación.

La Escuela Europea de Excelencia presenta su curso ISO 31000: Gestión de Riesgos actualizado a la versión más reciente de la norma. Este programa de formación capacita al alumno para gestionar con solvencia los riesgos corporativos de la organización

Se trata de un programa práctico con plazas limitadas, realice su matrícula ahora antes de que se agoten.

La entrada Diseño del marco para la gestión del riesgo en ISO 31000:2018 se publicó primero en Escuela Europea de Excelencia.

El objetivo del tratamiento de riesgos según ISO 31000:2018 es diseñar, evaluar, seleccionar e implementar acciones para abordar los riesgos identificados dentro de una organización.

El tratamiento de riesgos según ISO 31000:2018 es un proceso dinámico e iterativo que requiere:

• Formular opciones para el tratamiento de riesgo.
• Seleccionar la opción más adecuada.
• Planificar e implementar el tratamiento de riesgos.
• Evaluar la efectividad de las acciones implementadas.
• Calificar el riesgo residual (aceptable o no aceptable).
• Tratamiento para el riesgo residual no aceptable.

Cómo seleccionar las opciones de tratamiento de riegos según ISO 31000:2018

La selección de las opciones de tratamiento de riesgo que resulten más efectivas, requiere poner en una balanza los beneficios potenciales derivados de la efectividad de la acción propuesta, por un lado, y el coste, el esfuerzo y las desventajas que eventualmente pudiesen surgir como consecuencia de la implementación.

Las opciones de tratamiento de riesgos según ISO 31000:2018 no son excluyentes entre sí. Tampoco resultan eficaces en todas las circunstancias. Estas pueden incluir una o varias de las siguientes acciones:

• Eliminar el riesgo prescindiendo del proceso, la actividad o las circunstancias que lo generan.
• Asumir el riesgo, aun aumentándolo, con el fin de incrementar una posible oportunidad.
• Tomar acciones para disminuir la probabilidad del riesgo.
• Implementar acciones que disminuyan el impacto negativo del riesgo…
• Compartir el riesgo (cláusulas en contratos o comprar pólizas de seguros)
• Retener el riesgo con base en información confiable.

Las variables con base en las cuales se realiza el tratamiento de riesgos según ISO 31000:2018 van más allá de las consideraciones económicas. Es preciso tener en cuenta las opiniones de las partes interesadas, las obligaciones y los objetivos de negocio de la organización.

El tratamiento de riesgos según ISO 31000:2018, aunque se diseñe e implemente en forma cuidadosa, puede no ofrecer los resultados esperados para la organización o para algunas partes interesadas. Por ello, el monitoreo y la revisión deben formar parte integral del proceso de tratamiento de riesgos a fin de garantizar que las acciones implementadas sigan siempre siendo efectivas.

---

Aprenda a realizar el #TratamientoRiesgos según la nueva #ISO31000 publicada en 2018
Compartir en X

---

En el proceso de tratamiento de riesgos, es posible que aparezcan amenazas para las que no tengamos opciones disponibles. Cuando las opciones de tratamiento no modifican en forma sustancial el riesgo, este debe registrarse y mantenerse en observación permanente.

Implementar planes de tratamiento de riesgos según ISO 31000:2018

La razón para implementar planes de tratamiento de riesgos es definir y especificar la forma en que se adoptarán las opciones elegidas, para que todas las partes interesadas las entiendan y sea posible monitorear el progreso del plan.

El plan de tratamiento de riesgos según ISO 31000:2018 debe identificar con claridad el orden en que se deben implementar las acciones, y la forma en que se integrará con los procesos de gestión de la organización, todo ello de acuerdo con las necesidades de las partes interesadas.

La información provista en el plan de tratamiento de riesgos debe incluir:

• Justificación para la elección de las opciones de tratamiento, incluyendo beneficios esperados.
• Quiénes son los responsables de aprobar e implementar el plan.
• Las acciones de tratamiento propuestas.
• Recursos requeridos, incluyendo los necesarios en caso de contingencia.
• Mediciones de rendimiento del plan.
• Limitaciones del plan.
• Acciones de monitoreo requeridas.
• Plazos esperados para que se completen las acciones.

Curso ISO 31000 Gestión de Riesgos

El tratamiento de riesgos según ISO 31000:2018 es un tema complejo que requiere formación y capacitación. La Escuela Europea de Excelencia ofrece el Curso ISO 31000 Gestión de Riesgos, como una forma de proporcionar a sus alumnos herramientas útiles para desarrollar esta labor en una organización de forma eficiente y exitosa.

No deje pasar esta oportunidad de conocer a fondo la norma ISO 31000. Inscríbase ahora en el Curso ISO 3100 Gestión de Riesgos.

La entrada Cómo realizar el tratamiento de riesgos según ISO 31000:2018 se publicó primero en Escuela Europea de Excelencia.