ISO 31000 Gestión de Riesgos: ¿Cuáles son sus directrices?

Gestión de Riesgos

Las amenazas, incertidumbres y riesgos a los que se encuentran sometidas las actividades que realizan las empresas, sin importar su diligencia o tamaño, son conocidas en la actualidad como “Gestión del Riesgo”. Este es un término utilizado para referirse de forma específicamente a accidentes operacionales, enfermedades, incendios o catástrofes naturales, entre otros, que pueden afectar a la consecución de los objetivos de cualquier organización. Una de las estrategias de reacción es la norma ISO 31000.

La norma ISO 31000 tiene el objetivo de ayudar a generar un enfoque para mejorar la gestión de riesgos, de manera sistemática y brindar diversidad de posibilidades para que de forma integral exista una gestión que permita conseguir los objetivos que persigue la organización. El documento normativo establece todos los procesos y principios que se deben seguir para realizar gestión del riesgo, en la que recomienda a las empresas el desarrollo, la implantación y el mejoramiento continuo como un importante componente de los sistemas de gestión.

Aunque como en cualquier campo de conocimiento existen diferentes definiciones, la gestión del riesgo se puede definir como un proceso estructurado y secuencial, de identificación, análisis y cuantificación de las probabilidades de ocurrencia de una determinada amenaza, cuya materialización provoca pérdidas o deterioros, además de efectos secundarios.

La gestión del riesgo comprende las acciones preventivas, correctivas y mitigadoras correspondientes, que se deben utilizar para eliminar o controlar la amenaza o para disminuir los efectos negativos que se encuentran materializados.

Por otra parte, la norma ISO 31000 de Gestión de Riesgos, define el proceso de gestión de riesgos como: la aplicación sistemática de las políticas de gestión, los procedimientos y las prácticas para las actividades que se llevan a cabo de comunicación, consultoría, etc. ya que se define un contexto y se realiza un análisis, una evaluación, un tratamiento y seguimiento para revisar el riesgo.

Todas las empresas, ya sean públicas o privadas, tienen como razón de ser el cumplimiento de una serie de objetivos que se establecen en su propia constitución y que se articulan de forma detallada y periódica mediante su planificación estratégica.

En muchas ocasiones, el cumplimiento de los objetivos se ven condicionados por la presencia de todo un catálogo de riesgos diversos, de origen interno o externo, que hacen que sea imprescindible que la empresa deba contar con planes y programas de acción para hacerle frente y que se puedan gestionar de una forma eficiente.

La gestión eficaz de los riesgos, no sólo contribuye de forma notable durante el cumplimiento de los objetivos que han sido establecidos, sino que además favorece a toda la empresa de una manera generalizada.

El proceso técnico de la gestión del riesgo, se encuentra estructurado mediante una secuencia, cuyas fases se ordenan de la siguiente forma:

• Establecer el contexto estratégico: consiste en la definición de parámetros básicos para la gestión del riesgo, así como el alcance y los criterios para el resto de procesos, algo que se debe hacer de manera ineludible desde el conocimiento de todos los aspectos que se engloban en la actividad llevada a cabo por la empresa.
• Identificar los riesgos: la empresa tiene que identificar de forma sistémica los riesgos a los que se encuentra sometida, las causas de los mismos y los posibles efectos que tendría su materialización. Se encuentran recogidas las acciones que se relacionan con la clasificación del riesgo, dependiendo de su tipología.
• Analizar el riesgo: en esta fase se establece la probabilidad de que suceda un riesgo y el impacto que generan sus consecuencias, mediante su calificación y su evaluación, con el fin de que se establezca, de la manera más eficiente posible, el nivel de riesgo y por lo tanto las acciones correctoras que se deben llevar a cabo. El éxito de este proceso depende en gran medida de la calidad de la información que se haya obtenido en la fase de identificación y el tipo de método que se haya escogido para realizar el análisis.
• Valoración de los riesgos: se deberán confrontar los resultados obtenidos a raíz del análisis del riesgo, con las medidas de control que han sido identificadas, para establecer prioridades en el tratamiento de los riesgos y poder fijar las políticas de gestión que sean más adecuadas.
• Políticas de administración de riesgos: constituye la fase final. Una vez identificados, clasificados y valorados los riesgos, es el momento de establecer las políticas de gestión de riesgo, que se encuentran articuladas en cuatro ejes diferentes: transferencia del riesgos, retención del riesgo, reducción del riesgo o evitar dicho riesgo.
• Monitorización y revisión: teniendo en cuanta de que es muy difícil que los riesgos detectados dejen de suponer una amenaza para la empresa, es imprescindible establecer los indicadores de seguimiento sobre las medidas que se establecen para la gestión de riesgos.

Software ISO 31000

El Software ISOTools Excellence facilita la implementación, automatización y mantenimiento de las actividades de la Gestión de Riesgos según la norma ISO 31000 como una herramienta fácil de manejar e intuitiva que sigue una estructura modular, gracias al manejo efectivo de la documentación, optimizando recursos y costes y mejorando la comunicación.