Reseña de la guía «Norma ISO 31000: el valor de la gestión de riesgos en las organizaciones»

La Gestión de Riesgos y la norma ISO 31000

El término riesgo siempre ha estado asociado al mundo empresarial. Es imposible pensar en algún tipo de actividad empresarial que esté exenta de sufrir cualquier tipo de riesgo. Y es que existen muchos tipos de amenazas que pueden hacer tambalear la seguridad y el bienestar de la empresa y poner en peligro la consecución de los objetivos corporativos. Sin embargo, no todos los riesgos son negativos. Al contrario, algunos de estos riesgos pueden ofrecer oportunidades que beneficien a la compañía.

A pesar de que el término riesgo es inherente a la actividad empresarial, la gestión de riesgos es un concepto relativamente nuevo. Este surgió como respuesta a la necesidad de reforzar el control y seguimiento de los avances tecnológicos que se fueron incorporando al mundo empresarial.

No obstante, no fue hasta la década de los 70 cuando comenzaron a publicarse los primeros documentos y normas relacionadas con la gestión de riesgos. Normas que pretendían establecer las directrices básicas para minimizar los riesgos en la empresa.

Con el paso de los años, esta documentación ha ido creciendo. Se han desarrollado métodos de análisis de riesgos, tanto de tipo cualitativo, cuantitativo como semicuantitativo, y otros recursos dirigidos a mejorar la gestión de riesgos, como el sistema APPCC (Análisis de Peligros y Puntos Críticos de Control), uno de los más populares y valorados.

Sin embargo, la mayoría de estos informes y recursos eran muy específicos, por lo que no podían extrapolarse a otros sectores. Además, los criterios que establecían unos y otros eran muy dispares entre sí.

Con el fin de unificar criterios y desarrollar un documento más genérico que pudiera ser utilizado en cualquier tipo de empresa, la Organización Internacional de Normalización (ISO) elaboró la norma ISO 31000 sobre gestión de riesgos.

Características de la norma ISO 31000

La norma internacional ISO 31000 surgió en 2009 con el fin de proporcionar a las empresas, con independencia de su tamaño o sector, directrices para gestionar los riesgos de manera eficaz.

Esta norma, de carácter voluntario y no certificable, establece los principios que debe regir la gestión de riesgos y desarrolla los requerimientos y directrices que deben cumplir las empresas para una eficaz gestión de riesgos. Es, por tanto, una guía para aquellas empresas que deseen poner en marcha un Sistema de Gestión de Riesgos.

Este estándar proporciona orientaciones para gestionar, minimizar y controlar los riesgos, con independencia de su naturaleza y grado de incidencia. Las empresas solo tienen que adaptarlo a sus peculiaridades.

La norma, tal y como señala el ebook “Norma ISO 31000: el valor de la gestión de riesgos en las organizaciones” define la gestión de riesgos como todas aquellas acciones coordinadas para dirigir y controlar los riesgos a los que puedan estar abocadas las organizaciones. La norma se basa en once principios fundamentales, sin los que no es posible una gestión eficaz de los riesgos:

1. La gestión crea valor a la organización.

2. Debe estar integrada a los procesos.

3. Forma parte de la toma de decisiones en la empresa.

4. Trata de forma explícita la incertidumbre.

5. Debe ser sistemática, estructurada y adecuada.

6. Es necesario que esté basada en la mejor información disponible.

7. Debe adaptarse a la medida de cada caso.

8. Implica la inclusión de factores humanos y culturales.

9. Debe ser transparente, eficaz e inclusiva.

10. Es necesario que sea iterativa y sensible al cambio.

11. Tiene que ir orientada a la mejora continua de la organización

Además, el estándar expresa una serie de requerimientos imprescindibles, como la necesidad de compromiso por parte de la alta dirección, condición esencial para que la gestión de riesgos sea realmente eficaz. Solo con el compromiso de los altos cargos se podrá conseguir el apoyo y compromiso del resto de la empresa.

Pasos para implementar la norma ISO 31000 en la empresa

Además de la participación y compromiso de la Dirección empresarial, es necesario seguir una serie de pasos para que el Sistema de Gestión de Riesgos sea efectivo. Estos pasos son:

1. Definición de objetivos: es decir, qué se pretende conseguir con esta implementación. Los objetivos deben ser concretos para un eficaz seguimiento.

2. Nombramiento de responsables: La empresa debe seleccionar a un equipo que se responsabilice del desarrollo y puesta en marcha del plan de riesgos. Este equipo puede ser interno, es decir, compuesto por miembros de la propia empresa, o externo, integrado por personal que no pertenece a la organización.

3. Identificación y análisis de los riesgos: será el primer objetivo del equipo de gestión de riesgos. Además, deberán determinar su nivel de incidencia y priorizarlos.

4. Definición de las respuestas a los riesgos: una vez identificados y descritos los riesgos, llega el momento de plantear soluciones encaminadas a suprimir, transferir, mitigar o aceptar el riesgo, en el supuesto de que éste pueda beneficiar a la empresa. Estas acciones se deben documentar y comunicar a todos los miembros implicados, para que sepan cómo actuar llegado el momento.

5. Plan de tratamiento: es el último paso para una eficaz implementación. El objetivo de este plan es la mejora continua en la gestión de riesgos, por lo que debe ser flexible y dinámico.