- Principios de la gestión de riesgos.
- Marco de trabajo para la gestión de riesgos.
- Proceso de gestión de riesgos.
Principios de ISO 31000 para la gestión de riesgos
- Crear y salvaguardar el valor.
- Integrarse en todos los proceso de la organización.
- Formar parte de todos los procesos de toma de decisiones.
- Abordar explícitamente la incertidumbre.
- Ser una metodología sistemática, estructurada y oportuna.
- Fundamentarse en la mejor información disponible.
- Alinearse tanto al contexto como al perfil de riesgos de la organización.
- Tomar en consideración factores humanos y culturales.
- Ser una norma transparente e inclusiva.
- Ser una norma dinámica, iterativa y sensible al cambio.
- Hacer más fácil la mejora continua.
Marco de trabajo para la gestión de riesgos con ISO 31000
Este segundo elemento clave podemos llamarlo marco de trabajo o marco de referencia, cuyo objetivo es integrar el proceso de gestión de riesgos en el seno de la organización.
Es recomendable, según la norma, desarrollar, implementar y mejorar de forma continua este marco de referencia, para poder integrar el proceso de gestión de riesgos en la alta dirección, en la estrategia organizacional, en la planificación, gestión, informes de procesos, políticas, cultura de la empresa y valores de la misma.
Este marco de trabajo sigue las directrices del ciclo PHVA, precedido de una etapa de mandato y compromiso de la dirección.
La norma, contiene una serie de mandatos que debe cumplir la alta gerencia para garantizar la efectividad en la gestión de riesgos. Para esto es esencial adquirir un fuerte y sostenido compromiso por parte de la gerencia, además de una planificación estratégica rigurosa.
Estos mandatos de los que hablamos pueden resumirse en:
- Definir y firmar la política de gestión de riesgos.
- Establecer unos indicadores de desempeño que vayan alineados con los de la organización en cuestión.
- Garantizar el alineamiento de los objetivos de la gestión de riesgos con los objetivos y estrategias de la organización.
- Aseverar las conformidades de tipo legal y regulatoria.
- Asignar responsabilidades, de acuerdo a los distintos niveles de la organización.
- Garantizar que se disponen de todos los recursos necesarios para ejecutar adecuadamente la gestión de riesgos.
- Hacer llegar a todas las partes interesadas los beneficios de la gestión de riesgos.
- Asegurar que se mantiene el marco de trabajo adecuado en la organización.
Proceso de gestión de riesgos
El tercer elemento clave de ISO 31000 es el proceso de gestión de riesgos. Este proceso consta de tres etapas: establecimiento del contexto, valuación de riesgos, constituida por la identificación, análisis y evaluación de riesgos, y el tratamiento de los riesgos.
El verdadero pilar de la norma es el establecimiento del contexto en el que la organización opera.
Hablamos de contexto tanto interno como externo, se trata de los entornos correspondientes en los que la organización quiere lograr sus objetivos, establecer el proceso de gestión de riesgos y definir los criterios de evaluación de los mismos.
A la hora de seleccionar la opción de tratamiento de riesgos, la norma ISO 31000 ofrece una lista de posibles elecciones, aplicables de manera individual o concurrente. Se trata de:
- Evitar el riesgo, tomando la decisión de no comenzar o no continuar la actividad que desemboca en el riesgo en cuestión.
- Aceptar o aumentar el riesgo para poder concretar una oportunidad.
- Remover la fuente del riesgo.
- Cambiar la probabilidad.
- Cambiar las consecuencias o impactos.
- Compartir el riesgo con terceros, incluyendo contratos y financiación del riesgo.
- Retener el riesgo por decisión propia.
Este proceso de gestión de riesgos se cierra gracias a la interconexión de las etapas mencionadas anteriormente (establecimiento del contexto, valuación de riesgos, constituida por la identificación, análisis y evaluación de riesgos, y el tratamiento de los riesgos) y a la comunicación y consulta por un lado y el monitoreo y revisión por otro.
Para el caso de la gestión de riesgos inmersa en ISO 9001:2015, esta metodología es una de las opciones propuestas. Cada organización decidirá la que mejor se adapte a sus necesidades. La norma, desde el ISO/DIS 9001, no exige ninguna metodología en concreto.