La norma ISO 31000 es un estándar internacional para la gestión de riesgos. Proporciona principios y guías exhaustivas, la norma facilita a las empresas el análisis y la evaluación de riesgos.
Es independiente a si se trabaja en una empresa pública o privada, ya que puede beneficiarse de la norma ISO 31000, se aplica a la mayoría de las actividades de la empresa, incluyendo la planificación, la operación de gestión y procesos de comunicación.
Aunque todas las empresas gestionan riesgos de algún modo, las recomendaciones de mejorar las prácticas según la ISO 31000 desarrollan la mejora de las técnicas de gestión y garantizan la seguridad en el lugar de trabajo en todo momento.
Mediante la implantación de los principios y la guía de la norma ISO 31000 en su empresa, puede mejorar su eficiencia operativa, su gobernabilidad y la confianza de las partes interesadas, al mismo tiempo que se minimiza cualquier posible pérdida. La norma ISO 31000 ayuda a fomentar el desempeño de seguridad y salud, se establece una base sólida para tomar decisiones y fomentar una gestión proactiva en todas las áreas.
La norma ISO 31000 convierte la planificación en una buena gestión de riesgos. La norma y el Risk Management debe considerarse una parte estratégica de la organización, no se encuentra aislada del resto. La finalidad es generar valor mediante el cumplimiento de los objetivos estratégicos estipulados con antelación.
Identificación en Gestión de Riesgos
Es necesario hacer mucho énfasis en la definición de objetivos:
- Línea de negocio, procesos y subprocesos
- Procesos críticos
- Aspectos metodológicos
- Riesgo inherente
- Asignación de responsabilidad
La identificación del riesgo se ha de realizar mediante un grupo multidisciplinar de expertos en la materia. En ella se ha de reconocer todas las amenazas posibles, dentro de cada uno de los procesos o ítems.
Análisis en Risk Management
El análisis se mide en función a la probabilidad del impacto que pueda ocasionar cualquier tipo de riesgo inherente a un proceso:
- Metodología acorde al grado de madurez.
- Cualitativa o cuantifica.
- Registro de eventos o incidentes.
- Controles y su grado de efectividad.
Evaluación en Gestión de Riesgos
Una vez que se han establecido los objetivos de priorización, se procede a la evaluación:
- Criterios de riesgo
- Apetito de riesgo
- Priorización de riesgos
La norma ISO 31000 es un estándar internacional para la gestión de riesgos.
Tratamiento en Risk Management
Es necesario tener en cuenta el riesgo y la cobertura que se establece según el apetito de riesgo establecido por la organización:
- Planes de acción
- Seguimiento de cumplimiento de plan de acción
- Razonabilidad del control y medidas de tratamiento
- Asignación de presupuesto
- Indicadores de efectividad
Comunicación y consulta en Gestión de Riesgos
Los planes de comunicación pueden ser internos o externos:
- Reportes internos o externos.
- Informar y consultar.
- Nivel y evolución indicadores de riesgo.
- Seguimiento al perfil de riesgo.
- Mantener eficiencia.
Revisión y monitoreo
Se lleva a cabo según los indicadores establecidos previamente:
- Cumplimiento de políticas y procedimientos
- Efectividad del sistema
- Seguimiento al perfil de riesgo
- Periodicidad
- Responsabilidad
La gestión del riesgo no hay que verla como algo aislado, sino como un modelo que debe involucrar todos los procesos de la empresa. La norma ISO 31000 contribuye a la toma de decisiones.
En los últimos años las empresas se han esforzado en implantar sistemas de gestión de riesgos, apoyados en diferentes metodologías, entre las que se destaca la norma ISO 31000, siendo esta última la más aceptada. Para realizar esta tarea se han realizado inversiones que van desde la creación de áreas especializadas hasta la compra de herramientas de software, pasando por el pago a consultores y tipos para establecer un modelo de gestión de riesgos sobre las necesidades de la organización.
A veces, todos los elementos no son suficientes para ser exitosos en la misión, muchas veces se dejan de lado o no se realizan los esfuerzos suficientes para involucrar a todo el personal que se encuentra realizando la operación, quien es el responsable de ejecutar los controles definidos y de reportar posibles materializaciones de riesgos. No siempre somos conscientes de la importancia de generar una cultura real del riesgo en las empresas, cada persona debe reflexionar sobre su papel dentro del sistema, deberá ser consciente de la necesidad de realizar seguimiento a los riesgos de los procesos, según la oportunidad en el registro de los eventos, la revisión permanente de la efectividad de los controles, identificando las claves y mitigando los riesgos. Se deja claro que la articulación con diferentes áreas que propinan insumos de importancia para establecer dinamismo y sostenibilidad.
Los aspectos se convierten en factores críticos para establecer el éxito al implantar un sistema de gestión de riesgos en las empresas. En ese momento encontramos un desafío que va a permitir a una empresa para conseguir beneficios que se consigan en diferentes frentes, incluyendo el estratégico, el táctico y el operativo.
Tomado de: https://www.isotools.org/
