ISO 9001:2015 Gestión de Riesgos con ISO 31000

19 enero, 2015

ISO 9001

ISO 9001, en su próxima versión del 2015, nos exigirá una gestión de riesgos, tal y como venimos diciendo desde hace un tiempo.

Una de las metodologías a aplicar puede ser ISO 31000. Se trata de una norma que establece los principios para diseñar, implementar y mantener una gestión de riesgos sistemática y transparente de cualquier forma de riesgo y en cualquier contexto.

ISO 31000 define al riesgo refiriéndose tanto a situaciones negativas tradicionales que provocan pérdidas, como a las situaciones positivas de riesgo con conforman oportunidades.

Como podemos imaginar, ISO 31000 se puede aplicar a cualquier tipo de riesgo, ya sea de tipo financiero, de infraestructura, de operación, de mercado…

Esta generalización de riesgos supone que esta norma no está pensada ni enfocada en ningún tipo de Sistema de Gestión, ni para un determinado grupo de organizaciones o sector. Ha sido pensada para suministrar una estructura de mejores prácticas para aquellas operaciones relacionadas con la gestión del riesgo.

Es una herramienta muy útil en las organizaciones que tienen que usar una metodología de gestión de riesgos, porque les permite incluir múltiples Sistemas de Gestión.

El alcance de ISO 31000 consiste en facultar todas las tareas estratégicas, de gestión y operacionales de una organización mediante proyectos, funciones y procesos alineados a un conjunto común de objetivos de gestión de riesgos.

Esta norma se compone de una estructura formada por tres elementos clave para que la gestión de riesgos sea efectiva, transparente, sistemática y creíble. Estos elementos de los que hablamos son:

Principios de la gestión de riesgos.
Marco de trabajo para la gestión de riesgos.
Proceso de gestión de riesgos.

Principios de ISO 31000 para la gestión de riesgos

Crear y salvaguardar el valor.
Integrarse en todos los proceso de la organización.
Formar parte de todos los procesos de toma de decisiones.
Abordar explícitamente la incertidumbre.
Ser una metodología sistemática, estructurada y oportuna.
Fundamentarse en la mejor información disponible.
Alinearse tanto al contexto como al perfil de riesgos de la organización.
Tomar en consideración factores humanos y culturales.
Ser una norma transparente e inclusiva.
Ser una norma dinámica, iterativa y sensible al cambio.
Hacer más fácil la mejora continua.

Marco de trabajo para la gestión de riesgos con ISO 31000

Este segundo elemento clave podemos llamarlo marco de trabajo o marco de referencia, cuyo objetivo es integrar el proceso de gestión de riesgos en el seno de la organización.

Es recomendable, según la norma, desarrollar, implementar y mejorar de forma continua este marco de referencia, para poder integrar el proceso de gestión de riesgos en la alta dirección, en la estrategia organizacional, en la planificación, gestión, informes de procesos, políticas, cultura de la empresa y valores de la misma.

Este marco de trabajo sigue las directrices del ciclo PHVA, precedido de una etapa de mandato y compromiso de la dirección.

La norma, contiene una serie de mandatos que debe cumplir la alta gerencia para garantizar la efectividad en la gestión de riesgos. Para esto es esencial adquirir un fuerte y sostenido compromiso por parte de la gerencia, además de una planificación estratégica rigurosa.

Estos mandatos de los que hablamos pueden resumirse en:

Definir y firmar la política de gestión de riesgos.
Establecer unos indicadores de desempeño que vayan alineados con los de la organización en cuestión.
Garantizar el alineamiento de los objetivos de la gestión de riesgos con los objetivos y estrategias de la organización.
Aseverar las conformidades de tipo legal y regulatoria.
Asignar responsabilidades, de acuerdo a los distintos niveles de la organización.
Garantizar que se disponen de todos los recursos necesarios para ejecutar adecuadamente la gestión de riesgos.
Hacer llegar a todas las partes interesadas los beneficios de la gestión de riesgos.
Asegurar que se mantiene el marco de trabajo adecuado en la organización.

Proceso de gestión de riesgos

El tercer elemento clave de ISO 31000 es el proceso de gestión de riesgos. Este proceso consta de tres etapas: establecimiento del contexto, valuación de riesgos, constituida por la identificación, análisis y evaluación de riesgos, y el tratamiento de los riesgos.

El verdadero pilar de la norma es el establecimiento del contexto en el que la organización opera.

Hablamos de contexto tanto interno como externo, se trata de los entornos correspondientes en los que la organización quiere lograr sus objetivos, establecer el proceso de gestión de riesgos y definir los criterios de evaluación de los mismos.

A la hora de seleccionar la opción de tratamiento de riesgos, la norma ISO 31000 ofrece una lista de posibles elecciones, aplicables de manera individual o concurrente. Se trata de:

Evitar el riesgo, tomando la decisión de no comenzar o no continuar la actividad que desemboca en el riesgo en cuestión.
Aceptar o aumentar el riesgo para poder concretar una oportunidad.
Remover la fuente del riesgo.
Cambiar la probabilidad.
Cambiar las consecuencias o impactos.
Compartir el riesgo con terceros, incluyendo contratos y financiación del riesgo.
Retener el riesgo por decisión propia.

Este proceso de gestión de riesgos se cierra gracias a la interconexión de las etapas mencionadas anteriormente (establecimiento del contexto, valuación de riesgos, constituida por la identificación, análisis y evaluación de riesgos, y el tratamiento de los riesgos) y a la comunicación y consulta por un lado y el monitoreo y revisión por otro.

Para el caso de la gestión de riesgos inmersa en ISO 9001:2015, esta metodología es una de las opciones propuestas. Cada organización decidirá la que mejor se adapte a sus necesidades. La norma, desde el ISO/DIS 9001, no exige ninguna metodología en concreto.

Software para ISO 9001

Si le parece complicado llevar el control de un Sistema de Gestión de la Calidad ISO 9001 puede recurrir a herramientas como el Software ISOTools. Este software permite la automatización de todo el sistema, ahorrando tiempo y costes en su gestión.