En la versión de la ISO 9001:2015 se exige una gestión de riesgos como se está trabajando durante estos últimos meses.
Uno de los estándares que se puede utilizar es la ISO 31000 que es una norma que establece los principios para implementar, diseñar y mantener una gestión de riesgos ordenada y transparente de cualquier forma de riesgo y en cualquier entorno o contexto.
La norma ISO 31000 define al riesgo refiriéndose tanto a las situaciones positivas de riesgo (oportunidades) como negativas (pérdidas).
En este sentido y como hemos podido comprobar, la ISO 31000 puede adaptarse a cualquier tipo de riesgo ya sea de infraestructura, financiero, operación o de mercado.
Esta generalización de riesgos supone que esta norma no está enfocada para otro tipo de Sistema de Gestión ni para un grupo de organizaciones o sector puntal. Realmente ha sido pensada para ofrecer una estructura de mejores prácticas para aquellas actuaciones vinculadas con la gestión del riesgo.
Asimismo, para las organizaciones que tienen que usar una metodología de gestión de riesgos, es una herramienta muy útil porque les permite añadir numerosos Sistemas de Gestión.
El objetivo de ISO 31000 es el de facultar todas las tareas estratégicas, de gestión y operaciones de una empresa a través de funciones, proyectos y procesos alineados a un conjunto común de fines sobre gestión de riesgos.
La estructura de esta norma está compuesta de tres elementos clave para que la gestión de riesgos sea transparente, sistemática, efectiva y creíble. Los elementos de los que hablamos son:
- Elementos principales de la gestión de riesgos.
- Entorno de trabajo para la gestión de riesgos.
- Desarrollo de gestión de riesgos.
- Originar y cuidar el valor.
- Incluirse en todos los proceso de la empresa.
- Formar parte de todos los procesos de toma de decisiones.
- Englobar totalmente la incertidumbre.
- Tratarse de un método sistemático, estructurado y oportuno.
- Basarse en la mejor información de la que se disponga.
- Relacionarse tanto al contexto como al perfil de riesgos de la empresa.
- Tener en cuenta factores humanos y culturales.
- Ser una normativa transparente e inclusiva.
- Tratarse de un estándar dinámico, interactivo y sensible al cambio.
- Facilidad para llevar a cabo la mejora continua.
MARCO DE TRABAJO PARA LA GESTIÓN DE RIESGOS CON ISO 31000
Este segundo elemento fundamental podemos llamarlo “marco de trabajo o marco de referencia”, cuyo fin es incluir el proceso de gestión de riesgos en el corazón de la empresa.
Según la norma, se recomienda implementar, desarrollar y mejorar de forma continuada este marco de referencia, para poder incluir y adaptar el proceso de gestión de riesgos en la alta dirección, gestión, informes de procesos, políticas, en la estrategia organizacional, en la planificación, cultura de la empresa y valores de la misma.
Este marco de trabajo sigue las directrices del ciclo PHVA, precedido de una etapa de mandato y compromiso de la dirección.
La norma cuenta con una serie de mandatos que la alta gerencia debe cumplir para asegurar la eficacia en la gestión de riesgos. Para ello es fundamental que la gerencia se comprometa y lleve a cabo una planificación estratégica rigurosa.
Estos mandatos de los que hablamos pueden resumirse en:
- Definir y firmar la política de gestión de riesgos.
- Constituir unos indicadores de desarrollo que vayan alineados con los de la empresa en cuestión.
- Asegurar el alineamiento de los fines de la gestión de riesgos con las estrategias y objetivos de la entidad.
- Reafirmar las conformidades de tipo legal y regulatoria.
- Designar responsabilidades en relación a las diferentes áreas y niveles de la organización.
- Asegurar que se disponen de todos los recursos necesarios para llevar a cabo correctamente la gestión de riesgos.
- Comunicar los beneficios de la gestión de riesgos a todas las partes interesadas.
- Garantizar que se mantiene el marco de trabajo adecuado en la organización.
PROCESO DE GESTIÓN DE RIESGOS
El tercer elemento clave de ISO 31000 es el proceso de gestión de riesgos. Este proceso cuenta con tres etapas: análisis y evaluación de riesgos, establecimiento del contexto, evaluación de riesgos, constituida por la identificación y el tratamiento de los riesgos.
La base fundamental en la que se sustenta la norma es el establecimiento del contexto en el que opera la organización.
Hablamos de contexto tanto interno como externo. En este sentido, se trata de los entornos correspondientes en los que la entidad quiere alcanzar sus objetivos, establecer el proceso de gestión de riesgos y definir los criterios de evaluación de los mismos.
A la hora de seleccionar la opción de tratamiento de riesgos, la norma ISO 31000 ofrece una lista de posibles elecciones, que se pueden aplicar de forma individual o concurrente. Se trata de:
- Evitar el riesgo, tomando la decisión de no comenzar o no continuar la actividad que desemboca en el riesgo en cuestión.
- Aceptar o aumentar el riesgo para poder concretar una oportunidad.
- Remover la fuente del riesgo.
- Cambiar la probabilidad.
- Cambiar las consecuencias o impactos.
- Compartir el riesgo con terceros, incluyendo contratos y financiación del riesgo.
- Retener el riesgo por decisión propia.
Este proceso de gestión de riesgos se cierra gracias a la interconexión de las etapas mencionadas anteriormente (establecimiento del contexto, evaluación de riesgos, constituida por la identificación, análisis y evaluación de riesgos, y el tratamiento de los riesgos) y a la comunicación y consulta por un lado y el monitoreo y revisión por otro.
Para el caso de la gestión de riesgos inmersa en ISO 9001:2015, esta metodología es una de las opciones propuestas. Cada organización decidirá la que mejor se adapte a sus necesidades ya que la norma no exige ninguna metodología en concreto.
Sistema de Gestión de la Calidad
Controlar adecuadamente un Sistema de Gestión de la Calidad basado en la norma ISO9001 puede ser muy complejo e implica un esfuerzo especial por parte de la organización, En el mercado existen diversas opciones de software del sistema, sobre este tema hablaremos próximamente.
Tomado de: https://www.isotools.org/
