ISO 31000:2009 Gestión de Riesgos Martes 17 de Abril de 2012 17:29 | Escrito por Desiderio Briseño Castillo | Imprimir | Correo

electrónico

La ISO 31000 es una norma práctica que pretende ayudar a las organizaciones en el desarrollo de su propio enfoque de la gestión del riesgo comparando sus prácticas de gestión de riesgo con un punto de referencia reconocido internacionalmente, estableciendo los principios racionales para la ordenación eficaz. La ISO 31000 es aplicable para todas las organizaciones que estén interesadas en conocer los riesgos de su empresa y como atenderlos, sin importar su tamaño o sector

¿Cómo surge esta norma?

En Junio 2005 se dieron los primeros pasos por parte de ISO para crear una norma que contemplara la administración de riesgos en una empresa pero fue hasta Septiembre de 2005 que se formalizo el estándar. En Abril de 2008 se hicieron diversos estudios de investigación de riesgos, en empresas del Reino Unido y con el esfuerzo de la Asociación de Administración de Seguros y Riesgos AIRMIC por sus siglas en ingles, se mejoro la redacción de la norma. Finalmente en 2009 debutó la norma formalmente.

En noviembre del 2009, la Organización Internacional de Normalización ISO tras la publicación la norma, se destino a ayudar a las organizaciones de todos los tipos y tamaños en gestionar sus riesgos empresariales. Sin duda, su llegada fue oportuna, sin embargo muchas empresas no lograban primero; identificar sus problemas y posteriormente reflejarlos en una matriz para contrarrestar los mismos.

Es por eso que ISO público la guía ISO 73:2009, que es un vocabulario de gestión de riesgos, que complementa la norma ISO 31000:2009, proporcionando una colección de términos y definiciones relativas a la gestión del riesgo. Sin duda la ISO 31000:2009 y esta guía ISO 73:2009 en conjunto aseguran que todas las organizaciones están en la misma sintonía cuando se habla de riesgo.

¿De qué trata esta norma?

que además simplifica en once pasos la adecuada administración de un riesgo es denominado las sieteR’s y las cuatroT’s en un riesgo llamado así por sus iniciales en inglés. el alcance del riesgo. Reconocimiento o identificación de riesgos. de los principios para una adecuada administración de un riesgo empresarial.La norma si divide en dos partes sustanciales. La norma muestra diversas graficas y procesos para la gestión de riesgos. esto con la finalidad de conocer nuestras debilidades como empresarios. la primera “Gestión de Riesgos” nos habla de la identificación de riesgos. las partes involucradas. La norma presenta diez puntos importantes para una adecuada “Gestión de Riesgos” tales como. sus causas y las aspectos que intervienen en una evaluación de riesgos pero sobre todo. Ranking o ponderación de riesgos. En este sentido la norma nos ayuda primero a identificar. Respuesta a riesgos importantes Tolerar Tratar Transferir Terminar Control de Recursos Plan de Reacción Reporte y monitoreo del riesgo Revisión del marco de gestión de riesgos . la norma recomienda ponderar los riesgos identificados y dividirlos en negativos: “Riesgos de peligro” y positivos “Oportunidades de Riesgos” para facilitar posteriormente la solución a estos dos tipos de riesgos. operadores o gerentes. y luego administrar el o los riesgos. tolerancia del riesgo y el potencial del riesgo por mencionar algunos. uno de esos procesos.

Determinar estrategias Establecer la estructura básica del ERM Manejo adecuado de la empresa en crisis Responsabilidades del Gerente Contribuir a la cultura de prevención de riesgos Establecer metas para evitar riesgos . Para esto se pide la creación de puestos específicos que puedan atender los problemas. ya que como sabemos no hay una regla exacta que le diga a las empresas como resolver sus problemas. por mencionar algunos. mismas que se deben atender desde el CEO de la empresa o Director General hasta el último nivel jerárquico. recomienda técnicas pero sobretodo crea las bases necesarias y oportunidades para una correcta administración.Por último la segunda parte clasificada como “Gestión de Riesgos Empresariales” nos guía en el control de los riesgos identificados en un empresa. documento análogo a la “Política de Calidad” que pide la ISO 9001. La primera de las similitudes es la creación e implementación de un “Sistema de Gestión de Riesgos Empresariales” ERM por sus siglas en ingles (Enterprise Risk Managment) lo que en el mundo de ISO 9001 conocemos como SGC “Sistema de Gestión de la Calidad”. algo que es muy importante y único de la 31000 es la “Planeación y Diseño” del ERM ya que depende de una arquitectura del riesgo. un especialista en la gestión de riesgos. delega responsabilidades. “debe contemplar un plan de mitigación de riesgos”. Finalmente uno de los últimos puntos importantes en la norma 31000 es la ayuda a delegar responsabilidades. “ debe incluir los riesgos potenciales durante el año y los posibles riesgos a futuro”. Además la norma nos guía para la creación e implementación de una “Política de riesgo empresarial”. es decir. La norma no solamente iguala puntos de la 9001. además la norma nos habla de seis responsabilidades que se deben atender: Responsabilidades del CEO o la Mesa Directiva. o de las partes sustanciales que integran al problema ya que con él aseguramos el rumbo e intereses de la empresa. por ejemplo. un gerente de riesgos. En la ISO 31000 la política contempla trece puntos mínimos y también obligatorios para su creación entre los que destacan: “La política debe hacer referencia a una cultura de prevención de riesgos”. Esta parte tiene algunos similitudes con la ISO 9001 en cuanto sus procedimientos. un auditor interno especializado en gestión de riesgos.

Desarrollar el Proceso de Riesgos (7R`s y 4Ts) Auditar el Proceso de Riesgos en la empresa Reportar las eficiencias y eficacias derivadas de la auditoria . Desarrollar los planes de mitigación de riesgos. Desarrollar la Política de Riesgo Empresarial Coordinar las actividades interna y externas del ERM Administrar el sistema de Gestión de Riesgos Responsabilidades del especialista en el Sistema de Gestión de Riesgos Ayudar a la compañía con los riesgos detectados.Identificar y reportar todos los posibles riesgos Responsabilidades de los empleados Entender y aceptar el proceso de administración de riesgos Reportar lo que considere como riesgo potencial Reportar ineficiencias o re rabajos innecesarios Cooperar con las investigaciones de riesgos Responsabilidades del gerente de riesgos. Responsabilidades del auditor interno de gestión de riesgos. Atender los riesgos por área.

sin olvidar las amenazas propias del negocio. incendios u otras catástrofes naturales. temas y regiones bajo un estándar homogéneo y universalmente reconocido para ofrecer a los profesionales y organizaciones que desarrollan procesos de gestión de riesgos una guía integral de desempeño en cualquier sector de actividad. • la incorporación de mecanismos de información sobre la gestión del riesgo. las funciones y los procesos . grupo o individuo. La familia de las normas ISO 31000 está destinada a proporcionar los principios y directrices generales de Gestión del Riesgo. una estructura organizacional en los proyectos. la familia ISO 31000 incluye: • ISO 31000:2009 – Principios y Directrices sobre la aplicación • ISO / IEC 31010:2009 – Gestión de Riesgos – Técnicas de evaluación de riesgos • Guía ISO 73:2009 . con carácter voluntario no certificable. La Norma ISO 31000 fue publicada en 2009 por la ISO. La Norma persigue organizar la multitud de normas actuales y métodos de todas las industrias. enfermedades. Organización Internacional de Normalización y adoptada por AENOR en 2010. de gestión y operativa de una organización a través de una serie de 11 principios. • la creación de criterios uniformes de evaluación y medición de riesgo. La estandarización de todas los protocolos de gestión del riesgo se ha centrado en: • cubrir las lagunas legales en la gestión de riesgo empresarial. asociación. aumentando su vulnerabilidad y comprometiendo su rentabilidad. implementación y mantenimiento de los procesos de gestión de riesgos para “cualquier empresa pública.” El enfoque transversal del sistema de gestión del riesgo pretende alinear todas las tareas estratégicas.Gestión de Riesgos – Vocabulario ISO 31000:2009 proporciona directrices genéricas para el diseño. Un ejemplo de estos riesgos son los accidentes laborales. de forma sistemática y transparente. • alinear los objetivos de los marcos de gobernanza con la norma ISO 31000.Todas las acciones y procesos de una organización están sometidas a una serie de amenazas. En la actualidad. privada o comunitaria.

teniendo en cuenta la incertidumbre. operaciones. servicios. evaluación. Aunque el diseño y la implantación de la gestión de riesgos dependerá de las diversas necesidades de cada organización. contexto. El enfoque de ISO 31000:2009 en toda la organización implica a una serie de profesionales como: • Alta dirección • Trabajadores de departamentos de seguridad. La mayoría de las implicaciones para la adopción del nuevo estándar se basa en la reingeniería de las prácticas de gestión existentes para dar conformidad a los requisitos de documentación y comunicación de la nueva gestión del riesgo operativo. de sus objetivos concretos.hacia la detección. estructura. etc. proyectos. No se presupone como un proceso complicado para las organizaciones. incluyendo un compromiso formal de la Alta Dirección de desarrollar estrategias eficaces para la aplicación del estándar a través de las cadenas de suministro y operaciones comerciales. procesos operativos. control y minimización del riesgo en todos sus ámbitos. la posibilidad de futuros sucesos y los efectos sobre los objetivos acordados. calidad y prevención de riesgos • Analistas de riesgo y los funcionarios de la administración • Gerentes de áreas y jefes de proyecto • Auditores internos • Subcontratas y profesionales independientes. .

están expuestas a una serie de amenazas que las hacen vulnerables y pueden entorpecer la correcta consecución de sus objetivos. entre ellos la norma ISO 31000. Todas las organizaciones. la ISO 31000 determina los siguientes principios básicos: • Crea valor • Está integrada en los procesos de una organización • Forma parte de la toma de decisiones • Trata explícitamente la incertidumbre • Es sistemática. de cualquier tamaño y en cualquier sector. enfermedades. estructurada y adecuada • Está basada en la mejor información disponible • Está hecha a medida • Tiene en cuenta factores humanos y culturales • Es transparente e inclusiva • Es dinámica. incendios u otras catástrofes naturales. iterativa y sensible al cambio • Facilita la mejora continua de la organización Siguiendo estos principios. se pretende que las organizaciones: • Incrementen la posibilidad de alcanzar los objetivos trazados • Fomenten una gestión proactiva . Para una eficaz gestión del riesgo en las organizaciones. Se trata de una norma global que proporciona principios y directrices genéricas para la implantación de un sistema de gestión compatible con los estándares de gestión de riesgos de cualquier sector. La gestión integral de riesgos ha ganado impulso en los últimos años.Hacia una gestión efectiva de los riesgos en las organizaciones. Publicada en 2009 por la Organización Internacional de Normalización. dando lugar a la creación de diversos “Modelos de Gestión de Riesgos”. como pueden ser accidentes operacionales.

la ISO también publicó un documento que incluía aclaraciones y definiciones relativas a la gestión del riesgo. pueden implantar el sistema de gestión de riesgos siguiendo los principios y directrices de esta norma. la Guía ISO 73:2009. la evaluación de dichos riesgos y la gestión de los equipos de protección individual. La Herramienta para la Gestión de la Calidad ISOTools contempla la gestión del riesgo en las empresas partiendo de la preservación de la seguridad y salud en el trabajo. La norma ISO 31000 no es un estándar sobre el que se pueda pedir una certificación. Cualquier empresa. sin importar su tamaño o sector de actividad. . así como la protección del medio ambiente • Mejoren la prevención de pérdidas y de manejo de incidentes • Reduzcan al mínimo las pérdidas • Mejoren el aprendizaje organizacional • Mejoren la capacidad de resistencia de la organización Para comprender un poco mejor los términos de esta norma. En ella se recogen los posibles accidentes e incidentes que pueden ocurrir en la organización.• Sean conscientes de la necesidad de identificar y tratar los riesgos en toda la organización • Mejoren la identificación de las oportunidades y amenazas • Cumplan con las exigencias legales y reglamentarias y las normas internacionales • Mejoren los informes financieros • Mejoren la gobernabilidad • Mejoren la confianza de los inversionistas • Establezcan una base confiable para la toma de decisiones y la planificación de resultados • Mejoren los controles • Efectivamente asignen y utilicen recursos para el tratamiento del riesgo • Mejoren la eficacia y eficiencia operativa • Mejoren la salud y la seguridad.