La cuestión de la gestión de riesgos es tan im­po­r­ta­n­te que ninguna empresa puede pe­r­mi­ti­r­se el lujo de ignorarla. Cada día se dan riesgos en los ámbitos más dispares de las empresas ―algunos los llamarían opo­r­tu­ni­da­des― y la gerencia debe estar preparada para afro­n­tar­los, ya que solo así puede tomar las medidas adecuadas para so­lu­cio­nar­los. Para es­ta­ble­cer un sistema razonable de gestión de riesgos (SGR), conviene que la dirección de la empresa se atenga a la norma ISO 31000.

¿Qué es la ISO 31000? De­fi­ni­ción y ex­pli­ca­ción de la norma

Las empresas se enfrentan co­n­s­ta­n­te­me­n­te a im­pre­vi­s­tos de todo tipo, como eco­nó­mi­cos, técnicos o es­tra­té­gi­cos. Las empresas no pueden eliminar estos riesgos sin más, sino que tienen que lidiar con ellos. Los SGR pro­po­r­cio­nan di­re­c­ti­vas y procesos que indican cómo reac­cio­nar en si­tua­cio­nes de riesgo para limitar los daños po­te­n­cia­les lo mejor posible. Hay que tener en cuenta que la norma ISO 31000 no considera todos los riesgos como negativos, sino que, de acuerdo con ella, también hay riesgos positivos. De hecho, siempre que surja la in­ce­r­ti­du­m­bre de que un aco­n­te­ci­mie­n­to futuro pueda provocar que la empresa se desvíe de sus objetivos, se hablará de un riesgo.

De­fi­ni­ción

ISO 31000: la norma in­te­r­na­cio­nal pro­po­r­cio­na las pautas para elaborar un sistema de gestión de riesgos. El diseño de este estándar permite aplicarlo en cualquier empresa, in­de­pe­n­die­n­te­me­n­te de su tamaño o sector. Sin embargo, a di­fe­re­n­cia de muchas otras normas de la Or­ga­ni­za­ción In­te­r­na­cio­nal de No­r­ma­li­za­ción, la ISO 31000 no ofrece ce­r­ti­fi­ca­ción.

La Or­ga­ni­za­ción In­te­r­na­cio­nal de No­r­ma­li­za­ción (ISO, por sus siglas en inglés) ha es­ta­ble­ci­do varias normas de gestión em­pre­sa­rial: la ISO 9001 se centra en la gestión de la calidad, la ISO 14001 pro­po­r­cio­na di­re­c­ti­vas para la gestión me­dioa­m­bie­n­tal, y la ISO 50001, por su parte, es el estándar para la gestión ene­r­gé­ti­ca. El objetivo de la ISO 31000, como hemos dicho, es gestionar los riesgos de todo tipo, sin limitarse a empresas concretas: tanto las pymes, como las grandes or­ga­ni­za­cio­nes, pueden ga­ra­n­ti­zar la seguridad de sus ac­ti­vi­da­des siguiendo estas pautas.

Hecho

Im­ple­me­n­tar la ISO 31000 tiene por objetivo crear un proceso de mejora continua. Con el ciclo PDCA, el sistema puede mejorarse co­n­s­ta­n­te­me­n­te.

A di­fe­re­n­cia de otras normas ISO, la 31000 no contempla la ce­r­ti­fi­ca­ción. Mientras que, con otros es­tá­n­da­res similares, la empresa establece un sistema de gestión de riesgos de acuerdo con unas pautas y, después de superar una auditoría, recibe el co­rre­s­po­n­die­n­te ce­r­ti­fi­ca­do válido a nivel global, la norma ISO 31000 debe en­te­n­de­r­se como una mera guía, o un conjunto de di­re­c­ti­vas, que nos ayuda a im­ple­me­n­tar un sistema de gestión de riesgos eficaz en la empresa.

Es­tru­c­tu­ra de la ISO 31000

La norma, además de unos capítulos in­tro­du­c­to­rios y un apéndice, consta de unos pri­n­ci­pios, un marco y una ex­pli­ca­ción de los procesos.

Pri­n­ci­pios

Con sus once pri­n­ci­pios, la ISO 31000 pro­po­r­cio­na un marco sólido para im­ple­me­n­tar y de­sa­rro­llar po­s­te­rio­r­me­n­te el sistema de gestión de riesgos. Estos pri­n­ci­pios de­mue­s­tran en qué medida es im­po­r­ta­n­te contar con uno y ofrecen unas di­re­c­ti­vas básicas para ela­bo­rar­lo.

  • Valor: el SGR garantiza que se logren los objetivos de la empresa y, por lo tanto, crea valor.
  • In­te­gra­ción: si decides aplicar el SGR en tu empresa, debes in­te­grar­lo en todos los de­pa­r­ta­me­n­tos.
  • De­ci­sio­nes: al tomar de­ci­sio­nes que afecten al futuro de la empresa, siempre debes recurrir al SGR.
  • In­ce­r­ti­du­m­bre: el futuro incierto es uno de los co­m­po­ne­n­tes básicos del SGR y, desde su pe­r­s­pe­c­ti­va, se considera algo in­e­vi­ta­ble.
  • Si­s­te­má­ti­co: una es­tru­c­tu­ra razonable y oportuna es fu­n­da­me­n­tal para mantener el fu­n­cio­na­mie­n­to del sistema.
  • In­fo­r­ma­ción: de acuerdo con el SGR, las de­ci­sio­nes deben basarse en todos los datos di­s­po­ni­bles.
  • Ada­p­ta­ción: el SGR debe estar hecho a medida y adaptarse a las ci­r­cu­n­s­ta­n­cias de la empresa.
  • Factor humano: un buen SGR se define por el factor cultural y humano y se lo toma muy en serio.
  • Tra­n­s­pa­re­n­cia: todas las partes im­pli­ca­das deben tener una visión completa del SGR.
  • Dinámico: un SGR que funcione bien se adaptará sin esfuerzo a las nuevas co­n­di­cio­nes.
  • Mejora: como proceso continuo, el SGR mejora co­n­s­ta­n­te­me­n­te.

Marco

En el cuarto capítulo de la ISO 31000, se describe un marco para el sistema de gestión de riesgos que se basa en los pri­n­ci­pios descritos más arriba y que establece cinco puntos que de­te­r­mi­nan la es­tru­c­tu­ra del sistema.

  • In­te­gra­ción: antes de poder im­ple­me­n­tar un sistema de gestión de riesgos con éxito, hay que co­m­pre­n­der la es­tru­c­tu­ra de la empresa. Después, la dirección tiene que es­ta­ble­cer una es­tra­te­gia y nombrar a los re­s­po­n­sa­bles.
  • Diseño: al diseñar el SGR, se tienen en cuenta tanto factores internos, como externos. En una de­cla­ra­ción por escrito, la dirección de la or­ga­ni­za­ción se co­m­pro­me­te con la gestión de riesgos y deja clara la es­tra­te­gia y la asi­g­na­ción de roles a todos los empleados.
  • Im­ple­me­n­ta­ción: para im­ple­me­n­tar el SGR en la empresa, es necesario cambiar algunos pro­ce­di­mie­n­tos. El objetivo es que todos los empleados asuman el sistema y lo in­co­r­po­ren al trabajo diario.
  • Eva­lua­ción: el SGR debe evaluarse pe­rió­di­ca­me­n­te para comparar los objetivos es­ta­ble­ci­dos con los re­su­l­ta­dos reales y ga­ra­n­ti­zar su efe­c­ti­vi­dad a largo plazo.
  • Mejora: las re­vi­sio­nes pe­rió­di­cas también sirven para realizar mejoras continuas. El SGR debe adaptarse di­ná­mi­ca­me­n­te a los cambios en la empresa y, por lo tanto, seguir op­ti­mi­zá­n­do­se a largo plazo.
Nota

La gestión de riesgos adopta un enfoque de arriba a abajo, es decir, que la dirección de la empresa toma la ini­cia­ti­va y organiza el sistema desde arriba.

Procesos

Una vez im­ple­me­n­ta­do el sistema en la empresa, será la hora de in­tro­du­cir y aplicar procesos de gestión de riesgos. Frente al marco y los pri­n­ci­pios básicos, los procesos son medidas concretas adaptadas a la empresa. Como la norma ISO 31000, por lo general, puede im­ple­me­n­tar­se en todas las empresas de cualquier sector, hay que tener presente que la norma solo pro­po­r­cio­na di­re­c­ti­vas que, en la práctica, deben adaptarse a la empresa en cuestión.

En este sentido, son dos los factores que de­sem­pe­ñan el papel más im­po­r­ta­n­te: la co­mu­ni­ca­ción y la eva­lua­ción de riesgos. Los llamados grupos de interés (todas las personas im­pli­ca­das en la gestión de riesgos de acuerdo con la ISO 31000) deben ser in­fo­r­ma­dos sobre los pasos que se dan para im­ple­me­n­tar­la. Rea­li­za­n­do charlas con todos los empleados, el SGR podrá adaptarse cada vez más a las ne­ce­si­da­des de la empresa a lo largo del tiempo.

El primer paso de la eva­lua­ción de riesgos consiste en ide­n­ti­fi­car los riesgos po­te­n­cia­les. Una vez se ha elaborado una de­s­cri­p­ción general de los riesgos, estos se asignan a los di­fe­re­n­tes re­s­po­n­sa­bles. Estas personas, a su vez, analizan y evalúan los riesgos sobre la base de estudios. La eva­lua­ción de los riesgos también puede servir para predecir el alcance de estos problemas po­te­n­cia­les y los medios para co­n­tra­rre­s­tar­los.

Una vez fi­na­li­za­da la eva­lua­ción, se puede comenzar a gestionar los riesgos. De este modo, es posible evitar algunos de ellos por completo, reducir su alcance o, si­m­ple­me­n­te, aceptar sus efectos y no hacer nada al respecto. En algunos casos, la empresa decidirá ceder la gestión a un tercero. Completan el proceso el se­gui­mie­n­to de los riesgos y la ela­bo­ra­ción de informes sobre los análisis.

Ventajas e in­co­n­ve­nie­n­tes de la ISO 31000

Otros es­tá­n­da­res ISO de gestión em­pre­sa­rial ofrecen la gran ventaja de poder obtener la co­rre­s­po­n­die­n­te ce­r­ti­fi­ca­ción. Con un ce­r­ti­fi­ca­do, la im­ple­me­n­ta­ción del sistema es­ta­n­da­ri­za­do puede de­mo­s­trar­se a nivel in­te­r­na­cio­nal. La norma ISO 31000 no ofrece esta opción, pero, aun así, vale la pena seguir sus pautas.

Una gestión de riesgos inade­cua­da puede tener co­n­se­cue­n­cias dra­má­ti­cas para la empresa, ya que, en este caso, los riesgos quizás no se ide­n­ti­fi­quen en absoluto o se ide­n­ti­fi­quen demasiado tarde. Además, sin un sistema de gestión razonable, los empleados no saben a qué atenerse a la hora de en­fre­n­tar­se a los riesgos. La norma ISO 31000 ofrece pautas y consejos ela­bo­ra­dos por expertos, que aseguran la im­ple­me­n­ta­ción de un buen sistema si se siguen las pautas.

Sin embargo, in­tro­du­cir o modificar un SGR según la ISO 31000 tiene una de­s­ve­n­ta­ja: lleva mucho tiempo y, a veces, resulta caro. Con este estándar no es posible programar los cambios ne­ce­sa­rios en una sola reunión y, luego, im­ple­me­n­tar­los en el plazo de pocos días, sino que se requiere analizar el tema a fondo, im­pli­car­se en la empresa, valorar bien los riesgos po­te­n­cia­les y pla­ni­fi­car y de­sa­rro­llar un sistema para afro­n­tar­los, algo que comporta mucho esfuerzo. Además, los re­s­po­n­sa­bles también deben estar ca­pa­ci­ta­dos para hacerlo, lo que puede conllevar costes adi­cio­na­les.

En resumen

Gestionar los riesgos de acuerdo con la norma ISO 31000 promueve el éxito de todas las empresas. Sin embargo, para que surta efecto, el sistema debe im­ple­me­n­tar­se con mucha di­s­ci­pli­na y mo­ti­va­ción.

Por favor, ten en cuenta el aviso legal relativo a este artículo.

Ir al menú principal