Pasos para la implementación de un Sistema de Gestión de Riesgos con ISO 31000

ISO 31000

ISO 31000 para la gestión de riesgos proporciona una guía de principios orientados a analizar y evaluar los riesgos que en un momento dado pudieran afectar a la organización para, así, conocer las posibles consecuencias, evitarlos en la medida de lo posible y, en caso de materializarse, actuar de forma eficaz y eficiente para minimizar el perjuicio que pudiera sufrir la organización.

Se trata de un gran complemento al resto de normas ya publicadas, en las que el enfoque a riesgos es cada vez más evidente. Su aporte son una serie de buenas prácticas reconocidas a nivel internacional para una gestión eficiente de los riesgos en todos los niveles e la organización. Esta norma de reciente publicación se centra en gran medida en papel de la alta dirección o los órganos de gobierno y cómo su liderazgo impacta en todas las áreas que pudieran estar implicadas.

Implantación de la ISO 31000

ISO 31000 cuenta con un claro enfoque de procesos por lo que su implementación estará guiada por una serie de pasos que facilitará llegar a alcanzar los objetivos planteados.

Paso 1: Definición de objetivos

En primer lugar, para implementar ISO 31000 se deberán definir los objetivos del proceso, el “para qué” se implanta el Sistema de Gestión de Riesgos y el alcance que este tendrá en la organización. Para ello es fundamental la implicación de la alta dirección ya que además de participar en la definición deberán dar difusión a estos objetivos de forma que lleguen a todas las partes implicadas.

Paso 2: Nombrar a los responsables del Sistema de Gestión de Riesgos

La coordinación de la gestión del Sistema de Gestión de Riesgos deberá ser delegada en un responsable de confianza de la alta dirección, que, a su vez, contará con un equipo de trabajo, idealmente no superando las 10 personas (en función del tamaño de la organización y el alcance del Sistema de Gestión de Riesgos.

Esta responsabilidad también se podría llegar a externalizar en caso de que la organización, por tamaño o capacidad, no fuera capaz de llevar a cabo las tareas que implicará. Este proceso suele ser más costoso y aportar menos resultados ya que implicará un periodo de adaptación de la entidad subcontratada hasta llegar a integrarse en el día a día de la organización.

Paso 3: Identificar los riesgos

Este es posiblemente uno de los pasos más críticos de la implantación del Sistema de Gestión de Riesgos ya que en caso de no tener todos los riesgos en cuenta es posible que, llegado el caso, todo el trabajo quede sin utilidad al materializarse un riesgo no contemplado.

Para la identificación de riesgos los responsables del Sistema de Gestión de Riesgos deberán reunirse con los responsables de los departamentos que se definan y determinar los riesgos potenciales que se pudieran producir, al mismo tiempo que se priorizan en función del impacto.

Paso 4: Análisis de Riesgos

Una vez identificados es momento de analizarlos y determinar en qué medida estos afectarían a la organización. Para su análisis, se deberá tener en cuenta la probabilidad de materialización del riesgo y el impacto que, en caso de materializarse, tendría sobre el funcionamiento normal de la compañía.

Con estos dos factores se elaborará una matriz con dos ejes (probabilidad e impacto) y se ubicará cada riesgo identificado sobre ella, identificando aquellos en los que centrar la atención y el esfuerzo.

Paso 5: Definir la respuesta a cada riesgo:

Una vez identificados, analizados y priorizados se deberá plantear la solución más oportuna para cada caso, buscando los siguientes objetivos (ordenados por prioridad):

• Supresión del riesgo: Su eliminación total.
• Transferencia del riesgo: Conseguir que impacte en otras áreas u organizaciones.
• Mitigación del riesgo: Reducir su probabilidad de aparición o el impacto que supondría.
• Explotación del riesgo: En ocasiones un riesgo puede suponer una oportunidad. Si es así se debe aprovechar.
• Aceptación del riesgo: Se suele reservar para aquellos riesgos que presentan un bajo impacto o bien para los que no se tiene posibilidad de ninguno de los tipos de actuación anteriores.

Paso 6: Planificar el tratamiento del riesgo:

Estas respuestas deben estar planificadas de forma que se pueda trabajar correctamente para la consecución de lo proyectado. En cualquier caso, para una correcta gestión, deberán establecerse los sistemas de monitorización, medición y revisión oportunos, así como los medios necesarios para ejecutar la respuesta definida para cada riesgo.

ISOTools como herramienta de Gestión de Riesgos

ISOTools es una excelente herramienta para la implementación de un sistema de Gestión de Riesgos. Además de automatizar y promover una monitorización eficaz del proceso, permite una mejor coordinación de las tareas entre los directivos o responsables que hayan sido delegados para tal función.

Siguiendo los principios y las directrices de la norma ISO 31000, esta herramienta aporta ventajas que merecen ser destacadas:

• Ahorra tiempo durante la ejecución de las tareas.
• Permite realizar auto evaluaciones para definir el estado actual de la organización.
• Permite un mejor registro de los datos de los diferentes procesos.
• Realiza comparativas entre análisis de riesgos.
• Permite visualizar el avance de los proyectos y las actividades.
• Relaciona actividades similares o que guarden relación.
• Ofrece cuadros de mando para ilustrar cualquier momento del proceso.
• Permite la realización de análisis de incidencias.
• Ayuda a monitorizar la ejecución de soluciones específicas.