ISO 31000

¿ESTAMOS LISTOS PARA LA IMPLEMENTACIÓN DE LA GESTIÓN DE RIESGOS?

La nueva versión de las normas internacionales ISO 9001:2015 requisitos de gestión de calidad, ISO 14001:2015 gestión ambiental e ISO/IEC 17025 en la versión que pronto estará publicada, al igual que muchas otras normas, especifica que la organización debe planificar acciones para abordar los riesgos, sin embargo ninguna indica una metodología específica a utilizar para la gestión del riesgo, ni describen un proceso único para tratar los riesgos. 

El concepto de pensamiento basado en riesgos ha estado implícito en ediciones previas de ISO 9001, por ejemplo, mediante requisitos para la planificación, la revisión y la mejora continua.   La diferencia con ISO 9001:2015 es que esta última, especifica requisitos para que la organización entienda su contexto y determine los riesgos como base para la planificación. Esto representa la aplicación del pensamiento basado en riesgos a la planificación e implementación de los procesos del sistema de gestión de la calidad y ayudará a determinar la extensión de la información documentada.¹

El nivel del reto que las organizaciones decidan enfrentar, depende de la decisión gerencial de implementar un método que sólo cumpla con requisitos aislados de 9001 y de otras normas, o bien implementar un sistema que apoye realmente a la sostenibilidad del negocio y asegurar su continuidad.

¿Cómo empezar?

La gestión de riesgos se define como actividades coordinadas para dirigir y controlar una organización con respecto al riesgo, por lo que podemos inferir que no se limita a la aplicación aislada de métodos para el análisis de riesgos, sino busca incluir a todos los niveles de la organización en la identificación y ponderación de los riegos, así como en la ejecución y posterior evaluación de las acciones tomadas para controlarlos.

La decisión pareciera ser lógica respecto a implementar un sistema de gestión de riesgos real y completo que ayude a la organización tanto en el corto plazo como a largo del tiempo.  En la realidad podemos ver muchas organizaciones decidiendo por una solución más puntual y de corto alcance, lo cual obedece no sólo a una falta de visión por parte de los gerentes, sino a consideraciones serias de la inversión que requiere una implementación real de un sistema de gestión de riesgos.

En este artículo, les mostraré qué necesitamos para implementar un sistema de gestión de riesgos según ISO 31000 y cuáles son los beneficios de su implementación en cualquier tipo de organización.

• Orden y liderazgo

La gestión de riesgos no se puede implementar si no hay una base en la organización, al menos intermedia o avanzada respecto al conocimiento e implementación de los sistemas de gestión.    Con esto me refiero a que no podemos implementar apropiadamente una gestión de riesgos en organizaciones que aún no tiene estandarizados sus procesos, documentados sus procedimientos, o que aún no tienen una cultura de medición de resultados.  

Incluso si una organización cuenta con una certificación o acreditación, pero no cuenta con un liderazgo comprometido, le será complicada la implementación de la gestión de riesgos.  

Uno de los principales errores es pasar por alto los pasos previos a la implementación para luego perder tiempo resolviendo problemas causados por adelantarnos a la implementación.

• ¿Qué beneficios tengo de implementar ISO 31000?

Podemos ver dos niveles de beneficios, en función del tiempo.  En el corto plazo lo que obtendremos de la implementación de una gestión de riesgos es el cumplimiento de requisitos exigidos por otras normas que son de interés para la organización, como pueden ser ISO 9001:2015, ISO 14001:2015 o la próxima ISO 17025 entre otras, ya sea para obtener una certificación o mantener una ya existente y actualizar el sistema con los nuevos requisitos.

Normas que incluyen el pensamiento de gestión de riesgo

Norma	Área	Estado
ISO 9001:2015	Calidad	Publicada
ISO 14001:2015	Ambiente	Publicada
ISO/IEC 17025:2017	Laboratorios	En proceso
ISO 19011:2011	Auditorias	Publicada
ISO 27001:2013	Seguridad de la Información	Publicada
DIS ISO 45001 (actualmente OHSAS 18000)	Salud y Seguridad	En proceso
ISO 10006:2003 (Gestión de proyectos)	Proyectos	Publicada

Específicamente ISO 9001:2015 nos pide que al planificar el sistema de gestión de la calidad, la organización debe considerar las cuestiones referidas al contexto de la organización y los requisitos referidos a los factores externos y partes interesadas, y determinar los riesgos y oportunidades necesarios con el fin de:

• asegurar que el sistema de gestión de la calidad pueda lograr resultados previstos;
  • aumentar los efectos deseables;
  • prevenir o reducir efectos no deseados;
  • lograr la mejora.

Además, la organización debe planificar las acciones para abordar estos riesgos y oportunidades para:

• Integrar e implementar las acciones en sus procesos del sistema de gestión
  • Evaluar la eficacia de estas acciones.

Reconociendo el valor de una implementación de gestión de riesgos en la organización, podemos ver en el mediano y largo plazo una serie de beneficios que no sólo nos permitirán una certificación, si no serán la base para el crecimiento sostenido de la organización.   Entre algunos de los beneficios podemos mencionar los siguientes:

• Crea y protege el valor de su organización.
• Es una parte integral de todos los procesos de la organización.
• Es parte de la toma de decisiones.
• La gestión del riesgo aborda explícitamente la incertidumbre.
• Es sistemática, estructurada y oportuna.
• Se basa en la mejor información disponible.
• Toma en consideración los factores humanos y culturales.
• Es transparente e inclusiva.
• Es dinámica, reiterativa y receptiva al cambio.

• ¿Qué herramientas puedo usar para abordar la gestión de riesgos?

ISO nos presenta varias herramientas para establecer, implementar, documentar, mantener y mejorar el proceso de Gestión de Riesgos.

Estos métodos pueden ser clasificados como cualitativos, semi-cuantitativos y cuantitativos, lo más importante es conocer estos métodos e identificar cuando aplicarlos y en qué tipo de procesos podemos utilizarlos.

Todos los métodos pueden ser utilizados en la mayoría de organizaciones, pero es importante que sean coordinados por personas con experiencia en recolección de información, manejo de datos y en algunos casos los métodos requieren un amplio conocimiento en técnicas estadísticas.

                         Métodos propuestos por la norma ISO 31010

(ISO/IEC 31010:2009)

• Las oportunidades

Por último, tenemos que conocer que la gestión de riesgos no sólo está asociada amenazas hacia la organización, los riesgos son efectos de la incertidumbre, por lo que también pueden surgir oportunidades.    Las organizaciones debemos ser capaces de identificarlas y potenciar las oportunidades utilizando métodos sistemáticos.  Todos estos resultados podremos obtenerlos de una buena implementación de un sistema de gestión de riesgos y oportunidades.

REFERENCIAS

1. ISO 9001:2015, gestión de calidad –requisitos.
2. ISO 31000:2009, gestión de riesgos –principios y directrices.
3. ISO/IEC 31010:2009, gestión de riesgos –evaluación del riesgo, evaluación técnica del riesgo.
4. ISO Guía 73:2009, gestión de riesgos –vocabulario.