ISO 9001:2015 y la gestión de riesgos con ISO 31000

26 enero, 2015

Norma ISO 9001

La gerencia de riesgos se perfila como un elemento clave en la futura ISO 9001:2015. No solo será un componente del Sistema de Gestión de la Calidad, las empresas que lleven a cabo este tipo de prácticas adquirirán una ventaja competitiva y un importante incremento en el mercado.

Veremos en este post los avances que la norma ISO 31000, como método para la gerencia de riesgos, hace sobre el documento COSO II.

Antes de la aparición en 2009 de ISO31000, la mayoría de las organizaciones venían usando COSO II. Dicho estándar internacional favorece que una entidad pueda realizar una gestión eficaz del riesgo al que está expuesta, a través de la identificación, análisis y evaluación de riesgos.

Un aspecto muy importante de ISO 31000 es que ayuda a responder a una pregunta muy relevante en la gestión de riesgos, cómo llegar a todos los miembros de la organización hablando del riesgo de una misma forma.

ISO-31000 incide en la necesidad de crear y promover unas actitudes adecuadas en todos los involucrados de la organización, y conformar un clima y una cultura organizativa propensa al establecimiento de políticas de riesgos, para que las medidas y procesos propuestos sean aceptados como aspectos buenos en la organización.

Como se ha mencionado en otros post, la estructura de Sistema de Gestión conforma un marco de trabajo que define los elementos imprescindibles para ejecutar una buena gestión de riesgos. Este trabajo debe empezar por la más elevada implicación y compromiso de la alta dirección.

A continuación, le sigue el diseño de este marco de trabajo, entendiendo el contexto de la empresa, las variables que pueden impactar en el desempeño de la misma y en sus aspectos más relevantes.

Junto con los principios, vistos es post anteriores, y la estructura que la organización, ha de seguir para el despliegue de este enfoque el proceso de gestión de riesgos, que es otro de los pilares fundamentales de ISO31000. Es el pilar que permite gestionar los riesgos cuando se materializan.

Comunicación y consultas

COSO II situaba en último lugar la “información y consultas”, mientras que en ISO 31000 lo encontramos en primera fila, constituye el primer punto del proceso, poniendo en valor su relevancia y señalando que las comunicaciones y consultas, internas y externas, deben ejecutarse en todas las fases del proceso.

La norma está cargada de un enfoque consultivo, más profundo que el enfoque tradicional, tiene objetivos muy amplios, como por ejemplo: ayudar a establecer el contexto, favorecer la gestión del cambio, asegurar la comprensión de los intereses de las partes interesadas, ayudar a asegurar que los riesgos se identifican correctamente…

Las comunicaciones y consultas deben ser veraces, pertinentes, entendibles, exactas, ya que su importancia radica en el avance de las aplicaciones y utilidades de esa información en todos los niveles de la organización.

Establecimiento del contexto

El contexto en que se desarrolla cualquier planificación determina y delimita su utilidad y aplicación.

COSO II señala como prioridad el análisis del ambiente interno de la organización como compromiso, autoridad, filosofía y cultura del riesgo, integridad y valores éticos…

El problema es que existen ciertos aspectos de relaciones internas y externas que no se contemplan.

ISO-31000 determina el establecimiento del contexto de forma que la organización pueda sentar las bases para articular objetivos, definir parámetros a considerar en la gestión del riesgo, relacionarlos con el alcance del proceso y establecer el alcance y criterios de riesgo para el resto del proceso.

Apreciación del riesgo

Tanto en ISO31000 como en COSO II la apreciación del riesgo reseña al proceso de evaluación cualitativa y cuantitativa de la exposición del riesgo en cada una de las actividades de la organización. Con lo que podemos decir que la apreciación del riesgo abarca identificación, análisis y evaluación de riesgos.

Identificación del riesgo

Esta etapa persigue generar un listado de riesgos basado en aquellos acontecimientos que podrían crear, mejorar, prevenir, degradar, acelerar o frenar el logro de los objetivos.

La diferencia con COSO II es que éste en su capítulo 4 expone algunas de las técnicas usadas para la identificación de eventos, mientras que ISO 31000 no lo hace. Esta norma deja libertada para emplear las técnicas o herramientas que mejor se adapten a los objetivos, aptitudes y riesgos a los que se expone la organización.

Análisis del riesgo

COSO II abarca en el capítulo 4 de forma conjunta la identificación y el análisis de riesgos, mientras que ISO31000 los separa de forma clara y precisa. Para esta norma, el análisis de riesgos implica además de la consideración de las causas y fuentes del riesgo, el estudio de las posibles consecuencias, sean positivas o negativas y su probabilidad de ocurrencia.

Este análisis aporta elementos de entrada para la fase de evaluación de riesgos y la toma de decisiones sobre la necesidad de tratar los riesgos, las estrategias y los métodos de tratamiento de riesgos.

Evaluación del riesgo

La evaluación de riesgos ayuda a la toma de decisiones, determina los riesgos a tratar y la forma más adecuada de hacerlo.

Como soporte de ISO 31000 aparece la norma ISO 31010. Ésta proporciona orientación para poder seleccionar y aplicar técnicas de evaluación, en su Anexo A expone técnicas potenciales y sus categorías. En su Anexo B contiene las líneas y directrices para su aplicabilidad.

Tratamiento del riesgo

El tratamiento de riesgo se basa en la selección e implementación de una serie de opciones para modificar los riesgos.

COSO II, en su capítulo 6, hace referencia a la respuesta ante los riesgos como estrategia de tratamiento. Aporta respuestas clásicas como evitar, reducir, compartir o evitar. Sin embargo, ISO31000 amplía estas posibilidades, intentando abarcar medidas de control, estratégicas o de financiación como:

Evitar el riesgo tomando la decisión de no iniciar o no continuar con la actividad que provoca el riesgo.
Aceptar e incluso aumentar el riesgo con el objetivo de aprovechar una oportunidad.
Suprimir la fuente de riesgo.
Transformar la probabilidad.
Cambiar consecuencias.
Compartir el riesgo.
Retener el riesgo según decisiones informadas.

A la hora de implantar estas estrategias la organización deberá establecer un plan de tratamiento.

Seguimiento y revisión

Seguimiento y revisión son elementos novedosos de la norma ISO 31000. Se trata de un proceso sobre los planes de tratamiento de riesgos, aporta una medida sobre el funcionamiento de dichos planes, cuyos resultados se pueden incorporar a la gestión del funcionamiento global de la organización.

Para terminar podemos decir que esta norma es otra de las opciones que tienen las organizaciones que implementen ISO 9001:2015, como metodología para la gestión de riesgos. Esta norma se basa sobre tres pilares básicos que no debemos olvidar: principios, estructura de la organización y el proceso de gestión.

Software para ISO 9001

Existen herramientas, como el Software ISOTools, que automatizan los Sistemas de Gestión, en este caso será posible con el Sistema de Gestión de la Calidad de la versión 2015 de ISO 9001. Aporta beneficios como facilidad en la toma de decisiones, mejora del trabajo en equipo o satisfacción de los clientes.