Similitudes y diferencias en la gestión de riesgos en las normas ISO 9001, ISO 31000 e ISO 27001

ISO 9001

Ante todo debemos plantearnos la siguiente cuestión, ¿deseamos integrar los conceptos de gestión de riesgos en la organización utilizando estándares de calidad y sistemas de gestión de seguridad de la información, pero no sabemos por dónde empezar? Para los asociados junior, y muy a menudo para los expertos en el área de sistemas de gestión, hay muchas interpretaciones diferentes de los conceptos de gestión de riesgos. Estas pueden conducir a la confusión cuando se trata de la aplicación u optimización de los sistemas integrados de gestión.

Algunas normas internacionales como ISO 9001, ISO 27001 e ISO 31000 ofrecen diferentes perspectivas sobre el concepto gestión de riesgos. Vamos a analizar diferentes puntos de vista.

Conceptos básicos de las normas

Con el fin de explicar los diferentes enfoques para la gestión de riesgos vamos a comenzar introduciendo el objetivo principal de cada norma:

• ISO 9001 2015: Requisitos para los Sistemas de Gestión de Calidad (SGC)
• ISO 27001 2013: Requisitos para los Sistemas de Gestión de la Seguridad de la Información (SGSI)
• ISO 31000 2009: Principios y directrices para la Gestión de Riesgos (GR)

Es importante tener en cuenta que la norma ISO 9001 e ISO 27001 tienen un contenido idéntico en sus capítulos, mientras que la ISO 31000 tiene una estructura diferente de recomendaciones generales.

Descripción general de la matriz

El consejo más valioso que podemos ofrecerle para que pueda tratar de entender las exigencias relacionadas con el concepto de gestión de riesgos es utilizar una comparación de los elementos principales:

El concepto de riesgo en el SGC y el SGSI

Los capítulos del SGC y del SGSI relacionados con el concepto de riesgo de gestión son los mismos, como podemos ver a continuación:

Principios de la ISO 31000

La norma ISO 31000 es muy diferente en esta cuestión. A continuación podemos ver los principios de esta norma de manera más detallada:

• La Gestión de Riesgos crea y protege el valor, aborda explícitamente la incertidumbre, tiene en consideración tanto factores humanos como culturales, así como las instalaciones de la mejora continua de la organización.
• La Gestión de riesgos es una parte integral de todos los procesos de la organización: parte de la toma de decisiones; es sistemática, estructurada y oportuna; se crea sobre la base de información actualizada; está adaptada al contexto interno, externo y al perfil de riesgo; es transparente, inclusiva, dinámica, iterativa y sensible al cambio.

Mientras que en la norma ISO 9001 no hay ningún requisito para los métodos formales acerca de la gestión del riesgo o un proceso de gestión de riesgos documentado, la norma ISO 27001 se refiere a la norma ISO 31000 e ISO 27005 como normas que pueden ser utilizadas como ayuda en el desarrollo del proceso de gestión de riesgos.

Ciertas similitudes en las normas relacionadas con la gestión de riesgos

No importan las similitudes y diferencias en los conceptos de gestión de riesgos en las diferentes normas. Una cuestión es segura: el riesgo siempre se define como el «efecto de la incertidumbre en los objetivos». Debemos tener en cuenta que la incertidumbre es el estado de deficiencia de información relacionada con la comprensión o el conocimiento de un evento, sus consecuencias o la probabilidad. Además, una cuestión común en relación con todas las normas es que los objetivos relacionados con la gestión de riesgos se pueden aplicar a diferentes niveles de la organización, tales como estratégica, operativa, proyecto, producto/servicio, o proceso.

Los riesgos siempre existirán alrededor de nosotros  y nunca pueden eliminar las situaciones no deseadas. Excepto por las actividades que terminan por completo que pueden producir efectos negativos. En la mayoría de los casos se deben seguir los objetivos impulsados por la alta dirección de la organización. Así que lo mejor que puede hacer es utilizar las mejores prácticas que se presentan en las tres normas para tratar de evitar o minimizar los efectos negativos.

Software ISO 9001

Con la finalidad de controlar de una manera fácil y sencilla el desarrollo del Sistema de Gestión de Calidad basado en la norma ISO 9001, muchas organizaciones, tanto públicas como privadas, hacen uso del Software ISOTools Excellence, el cual le permite y facilita el control del sistema garantizando la obtención de óptimos beneficios.