Antes de la aparición en 2009 de ISO31000, la mayoría de las organizaciones venían usando COSO II. Dicho estándar internacional favorece que una entidad pueda realizar una gestión eficaz del riesgo al que está expuesta, a través de la identificación, análisis y evaluación de riesgos.
Un aspecto muy importante de ISO 31000 es que ayuda a responder a una pregunta muy relevante en la gestión de riesgos, cómo llegar a todos los miembros de la organización hablando del riesgo de una misma forma.
ISO-31000 incide en la necesidad de crear y promover unas actitudes adecuadas en todos los involucrados de la organización, y conformar un clima y una cultura organizativa propensa al establecimiento de políticas de riesgos, para que las medidas y procesos propuestos sean aceptados como aspectos buenos en la organización.
Como se ha mencionado en otros post, la estructura de Sistema de Gestión conforma un marco de trabajo que define los elementos imprescindibles para ejecutar una buena gestión de riesgos. Este trabajo debe empezar por la más elevada implicación y compromiso de la alta dirección.
A continuación, le sigue el diseño de este marco de trabajo, entendiendo el contexto de la empresa, las variables que pueden impactar en el desempeño de la misma y en sus aspectos más relevantes.
Junto con los principios, vistos es post anteriores, y la estructura que la organización, ha de seguir para el despliegue de este enfoque el proceso de gestión de riesgos, que es otro de los pilares fundamentales de ISO31000. Es el pilar que permite gestionar los riesgos cuando se materializan.
Comunicación y consultas
COSO II situaba en último lugar la “información y consultas”, mientras que en ISO 31000 lo encontramos en primera fila, constituye el primer punto del proceso, poniendo en valor su relevancia y señalando que las comunicaciones y consultas, internas y externas, deben ejecutarse en todas las fases del proceso.
La norma está cargada de un enfoque consultivo, más profundo que el enfoque tradicional, tiene objetivos muy amplios, como por ejemplo: ayudar a establecer el contexto, favorecer la gestión del cambio, asegurar la comprensión de los intereses de las partes interesadas, ayudar a asegurar que los riesgos se identifican correctamente…
Las comunicaciones y consultas deben ser veraces, pertinentes, entendibles, exactas, ya que su importancia radica en el avance de las aplicaciones y utilidades de esa información en todos los niveles de la organización.
Establecimiento del contexto
El contexto en que se desarrolla cualquier planificación determina y delimita su utilidad y aplicación.
COSO II señala como prioridad el análisis del ambiente interno de la organización como compromiso, autoridad, filosofía y cultura del riesgo, integridad y valores éticos…
El problema es que existen ciertos aspectos de relaciones internas y externas que no se contemplan.
ISO-31000 determina el establecimiento del contexto de forma que la organización pueda sentar las bases para articular objetivos, definir parámetros a considerar en la gestión del riesgo, relacionarlos con el alcance del proceso y establecer el alcance y criterios de riesgo para el resto del proceso.
Apreciación del riesgo
Tanto en ISO31000 como en COSO II la apreciación del riesgo reseña al proceso de evaluación cualitativa y cuantitativa de la exposición del riesgo en cada una de las actividades de la organización. Con lo que podemos decir que la apreciación del riesgo abarca identificación, análisis y evaluación de riesgos.
- Identificación del riesgo
Esta etapa persigue generar un listado de riesgos basado en aquellos acontecimientos que podrían crear, mejorar, prevenir, degradar, acelerar o frenar el logro de los objetivos.
La diferencia con COSO II es que éste en su capítulo 4 expone algunas de las técnicas usadas para la identificación de eventos, mientras que ISO 31000 no lo hace. Esta norma deja libertada para emplear las técnicas o herramientas que mejor se adapten a los objetivos, aptitudes y riesgos a los que se expone la organización.
COSO II abarca en el capítulo 4 de forma conjunta la identificación y el análisis de riesgos, mientras que ISO31000 los separa de forma clara y precisa. Para esta norma, el análisis de riesgos implica además de la consideración de las causas y fuentes del riesgo, el estudio de las posibles consecuencias, sean positivas o negativas y su probabilidad de ocurrencia.
Este análisis aporta elementos de entrada para la fase de evaluación de riesgos y la toma de decisiones sobre la necesidad de tratar los riesgos, las estrategias y los métodos de tratamiento de riesgos.
La evaluación de riesgos ayuda a la toma de decisiones, determina los riesgos a tratar y la forma más adecuada de hacerlo.
Como soporte de ISO 31000 aparece la norma ISO 31010. Ésta proporciona orientación para poder seleccionar y aplicar técnicas de evaluación, en su Anexo A expone técnicas potenciales y sus categorías. En su Anexo B contiene las líneas y directrices para su aplicabilidad.