miércoles, 21 de febrero de 2018

NUEVA VERSIÓN DE LA NORMA ISO 31000

Ataques a la reputación o a la marca, ciberataques, amenazas políticas y terrorismo son algunos de los riesgos a los que se someten las organizaciones, públicas o privadas, de cualquier tamaño y sector. 
La nueva versión ISO 31000, recientemente publicada, tiene como objetivo ayudar a gestionar estas incertidumbres. 

El comité técnico internacional ISO/TC 262 Risk management, responsable de la Norma ISO 31000 Gestión del riesgo. Principios y directrices, ha elaborado un documento más sencillo y claro en la aplicación, por lo que el texto se ha centrado en los conceptos fundamentales del riesgo. 

Así, la nueva norma pone énfasis en la naturaleza iterativa del riesgo, manteniendo y asegurando la aplicación multidisciplinar de sus directrices, teniendo en su espíritu a la gestión del riesgo como disciplina que ayuda a las organizaciones a establecer la estrategia, conseguir objetivos y tomar decisiones informadas. 

Asimismo, no pierde de vista que la gestión del riesgo es parte de la gobernanza de las organizaciones y que es fundamental su observación a todos los niveles, al tiempo que contribuye a la mejora de los sistemas de gestión. 

La ISO 31000 presenta la estructura de alto nivel común con los documentos de gestión más empleados en el mundo, ISO 9001 (Calidad) e ISO 14001 (Medio Ambiente), así como con la inminente ISO 45001 de gestión de Seguridad y Salud en el Trabajo. 

Nuevo marco de gestión de riesgos para las organizaciones

La nueva versión de la ISO 31000, el primer estándar internacional sobre gestión del riesgo, verá la luz en el primer trimestre de 2018. Se trata de un documento más conciso que su antecesor, de 2009, y que pone mayor énfasis en la naturaleza iterativa del riesgo. Una correcta gestión del riesgo ayuda a las organizaciones a establecer su estrategia, conseguir objetivos y tomar decisiones basadas en información. 

El comité técnico internacional ISO/TC 262 Risk management ha finalizado recientemente el proceso de revisión de la Norma ISO 31000:2009 Gestión del riesgo. Principios y directrices, lo que permitirá contar con el nuevo documento durante el primer trimestre de 2018. 

En la redacción del nuevo texto han participado más de 70 países y en torno a una decena de organizaciones liaisons que han llevado a cabo la revisión, consensuando un texto de directrices para gestionar el riesgo al que se enfrentan organizaciones de todo tipo y tamaño, que gestionan factores internos y externos e influencias que crean incertidumbre a la hora de conseguir objetivos. 

Este nuevo estándar será utilizado por las personas de las organizaciones que crean y protegen el valor de éstas gestionando los riesgos, tomando decisiones, fijando y logrando objetivos y mejorando el desempeño. Esta nueva versión responde a una necesidad de las organizaciones por contar con un documento más sencillo y claro en la aplicación, por lo que el texto se ha centrado en los conceptos fundamentales del riesgo, lo que ha generado un documento más conciso, de lectura más clara y con una aplicabilidad más global. 

La nueva norma pone énfasis en la naturaleza iterativa del riesgo, manteniendo y asegurando la aplicación multidisciplinar de sus directrices, teniendo en su espíritu a la gestión del riesgo como disciplina que ayuda a las organizaciones a establecer la estrategia, conseguir objetivos y tomar decisiones informadas. Asimismo, no pierde de vista que la gestión del riesgo es parte de la gobernanza de las organizaciones y que es fundamental su observación a todos los niveles, al tiempo que contribuye a la mejora de los sistemas de gestión.

Contexto: 
La gestión del riesgo se ha normalizado internacionalmente en este siglo XXI, siendo la Norma ISO 31000:2009 el primer estándar internacional que ha proporcionado un acercamiento común para gestionar cualquier tipo de riesgo, no específico de ninguna industria o sector. Adoptado este estándar internacional como norma nacional en más de 40 países (ver figura 1), el comité ISO/TC 262 decidió en 2014 trabajar en una actualización de la citada norma que ha obtenido como resultado el documento recientemente aprobado. 

La revisión de la ISO 31000 supone un paso firme para la norma como guía de referencia en lo relativo al riesgo para los estándares de ISO que dan lugar a sistemas de gestión. Tras la aprobación por parte de ISO de la estructura de alto nivel (HLS) en 2012, estos estándares ISO y sus revisiones tienen que incluir una consideración del riesgo. 

De esta forma, por ejemplo, las normas ISO 9001 de sistemas de gestión de la calidad e ISO 14001 de sistemas de gestión ambiental están alineadas con la ISO 31000, como también lo estarán las nuevas normas de sistemas de gestión, en concreto la inminente ISO 45001 de sistemas de gestión de seguridad y salud en el trabajo. 

Aunque se continúa con la visión del riesgo como una guía de directrices para los sistemas de gestión (incluso los integrados) se cimientan las bases para un potencial sistema de gestión de riesgos en un futuro, al incluir algunos elementos adicionales propios de estos sistemas.

Novedades
 Si la edición de 2009 era de 26 pá- ginas, la revisión de 2018 se reducirá a 15 páginas, excluidas portadas, antecedentes y bibliografía. La labor de síntesis para lograr una norma que elimine todo lo superfluo se culmina con un texto centrado en lo importante. La introducción y el capítulo 1 de objeto y campo de aplicación han sido sintetizados en unas breves frases y se introduce un nuevo capítulo 2 de normas para consulta (alineado con la HLS). 

El nuevo capítulo 3 de términos y definiciones elimina 21 de las 29 definiciones incluidas en la ISO 31000:2009 (todas ellas incluidas en las 51 definiciones de la Guía 73:2009) para quedarse sólo con ocho definiciones clave: riesgo, gestión del riesgo, parte interesada, fuente de riesgo, suceso, consecuencia, probabilidad y control. Algunas de estas definiciones se mantienen, pero otras se actualizan especialmente en sus notas. El nuevo capítulo 4 de propósito y principios realza como propósito de la norma el primer principio de 2009 de creación y protección del valor de la gestión del riesgo. 

Los restantes 10 antiguos principios se sintetizan en los ocho siguientes: integrada; estructurada e integral; personalizada; inclusiva; dinámica; mejor información disponible; factores humanos y culturales y mejora continua. Este realineamiento de principios no modifica en gran medida el porqué de la norma, pero sí conlleva ajustes y prioridades con énfasis en algunos de ellos, como los factores humanos y culturales o la mejora continua mediante el aprendizaje y la experiencia. 

El nuevo capítulo 5 de marco de trabajo refuerza el propósito de esta estructura para apoyar la integración de la gestión del riesgo en la organización en todas sus actividades y funciones. Se modifica el tradicional ciclo de Deming de mejora continua por un nuevo ciclo que gira alrededor de liderazgo y compromiso lo que la alinea mejor con un potencial futuro de sistema de gestión. Además los cuatro pasos del ciclo PDCA (PlanDo-Check-Act) se ven ahora ampliados a cinco: integración, diseño, implementación, evaluación y mejora. 

Por último, el capítulo 6 de proceso sigue con la misma estructura tradicional pero se modifica el paso denominado establecimiento del contexto por un titular más global: campo de aplicación, contexto y criterios, que se adapta mejor a los aspectos desarrollados en esta etapa. 

Además, se incorpora un último apartado de registro e informe al esquema y se adapta el esquema lineal a uno circular más acorde con el proceso iterativo de gestión del riesgo. De esta forma la representación gráfica en columnas de la versión 2009 se convierte en una representación circular a modo de engranajes.



(ver figura 2) para los tres capítulos fundamentales de la ISO 31000: Principios, Marco de Trabajo y Proceso, reforzando la idea de una gestión del riesgo iterativa e integrada en todos los procesos y no aplicable solamente a un periodo predeterminado (mensual, trimestral, anual, etc.). Por último, desaparece el anexo A como guía de análisis de madurez y alineamiento con ISO 31000 para las organizaciones con algún grado de desarrollo en la gestión del riesgo al no ser necesario tras nueve años de la norma, ya que muy posiblemente este trabajo derivará en modelos de madurez. 

Otras normas En paralelo a la revisión desarrollada por el ISO/TC 262 a la Norma ISO 31000, IEC ha desarrollado una revisión de la Norma ISO 31010 de técnicas de apreciación del riesgo en cuya versión FDIS muestra una serie de técnicas ampliada sobre la versión de la norma de 2009, mejor estructurada en los pasos del proceso de gestión del riesgo y con unos criterios de selección de técnica ampliados. 

Dado que la última fase de la revisión finaliza en febrero (con la votación por parte de los países del FDIS) es presumible que se pueda contar con la nueva versión del documento a lo largo de 2018. Respecto de la Guía 73:2009, que ha quedado desfasada con la nueva ISO 31000, se va a abrir un nuevo grupo de trabajo en el seno del ISO/TC 262 para actualizarla y alinear sus términos y definiciones de gestión del riesgo con los de la revisión de 2018 de la Norma ISO 31000. 

Igualmente, el informe técnico ISO TR 31004:2013 de orientación para la implementación de la Norma ISO 31000:2009, que evidentemente pierde validez con la aprobación de la revisión en 2018, va a ser también modificado por ISO pasando a ser un manual (handbook) ISO, responsabilidad del ISO TC 262, con un proceso de edición ágil. 

ISO 31000 en español 
Al igual que sucede con otras normas de importante calado, como la ISO 9001, ISO 14001, ISO 17025, etc., ISO publicará la versión oficial en español de la ISO 31000:2018 para asegurar una cohesión de la terminología de riesgos en la comunidad hispanohablante. 

Este trabajo se ha articulado a través de la constitución de un grupo de trabajo específico (STTF, Spanish Translation Task Force) compuesto por los países miembros del ISO/TC 262 de habla hispana (Chile, Colombia, Cuba, Ecuador, El Salvador, España, Uruguay, México, Panamá y Perú), cuya secretaría técnica desarrollará España a través de UNE y la presidencia la ostentará México. 

Una vez finalizado el trabajo de traducción por parte del citado STTF, el texto será ratificado por el grupo del Consejo de Gestión Técnica (ISO/TMB) que coordina las versiones oficiales de ISO al español (ISO/TMB/STMG Spanish Translation Task Force), del que forman parte 15 países de habla hispana. La publicación de la versión oficial posibilitará a todos los países hispanohablantes adopciones nacionales idénticas de la norma ISO que evitarán discrepancias entre países, a diferencia de lo que sucedió con la versión de 2009

Para mayor información sobre la nueva ISO  31000:  file:///C:/Users/Jorge%20Mora/Downloads/NOV_DOC_Tabla_AEN_49664_1.pdffile:///C:/Users/Jorge%20Mora/Downloads/NOV_DOC_Tabla_AEN_49664_1.pdf 

Tomado de: http://www.aenor.es/