ISO 31000: gestión estandarizada de riesgos

La cuestión de la gestión de riesgos es tan importante que ninguna empresa puede permitirse el lujo de ignorarla. Cada día se dan riesgos en los ámbitos más dispares de las empresas ―algunos los llamarían oportunidades― y la gerencia debe estar preparada para afrontarlos, ya que solo así puede tomar las medidas adecuadas para solucionarlos. Para establecer un sistema razonable de gestión de riesgos (SGR), conviene que la dirección de la empresa se atenga a la norma ISO 31000.

Las empresas se enfrentan constantemente a imprevistos de todo tipo, como económicos, técnicos o estratégicos. Las empresas no pueden eliminar estos riesgos sin más, sino que tienen que lidiar con ellos. Los SGR proporcionan directivas y procesos que indican cómo reaccionar en situaciones de riesgo para limitar los daños potenciales lo mejor posible. Hay que tener en cuenta que la norma ISO 31000 no considera todos los riesgos como negativos, sino que, de acuerdo con ella, también hay riesgos positivos. De hecho, siempre que surja la incertidumbre de que un acontecimiento futuro pueda provocar que la empresa se desvíe de sus objetivos, se hablará de un riesgo.

La Organización Internacional de Normalización (ISO, por sus siglas en inglés) ha establecido varias normas de gestión empresarial: la ISO 9001 se centra en la gestión de la calidad, la ISO 14001 proporciona directivas para la gestión medioambiental, y la ISO 50001, por su parte, es el estándar para la gestión energética. El objetivo de la ISO 31000, como hemos dicho, es gestionar los riesgos de todo tipo, sin limitarse a empresas concretas: tanto las pymes, como las grandes organizaciones, pueden garantizar la seguridad de sus actividades siguiendo estas pautas.

A diferencia de otras normas ISO, la 31000 no contempla la certificación. Mientras que, con otros estándares similares, la empresa establece un sistema de gestión de riesgos de acuerdo con unas pautas y, después de superar una auditoría, recibe el correspondiente certificado válido a nivel global, la norma ISO 31000 debe entenderse como una mera guía, o un conjunto de directivas, que nos ayuda a implementar un sistema de gestión de riesgos eficaz en la empresa.

La norma, además de unos capítulos introductorios y un apéndice, consta de unos principios, un marco y una explicación de los procesos.

Con sus once principios, la ISO 31000 proporciona un marco sólido para implementar y desarrollar posteriormente el sistema de gestión de riesgos. Estos principios demuestran en qué medida es importante contar con uno y ofrecen unas directivas básicas para elaborarlo.

• Valor: el SGR garantiza que se logren los objetivos de la empresa y, por lo tanto, crea valor.
• Integración: si decides aplicar el SGR en tu empresa, debes integrarlo en todos los departamentos.
• Decisiones: al tomar decisiones que afecten al futuro de la empresa, siempre debes recurrir al SGR.
• Incertidumbre: el futuro incierto es uno de los componentes básicos del SGR y, desde su perspectiva, se considera algo inevitable.
• Sistemático: una estructura razonable y oportuna es fundamental para mantener el funcionamiento del sistema.
• Información: de acuerdo con el SGR, las decisiones deben basarse en todos los datos disponibles.
• Adaptación: el SGR debe estar hecho a medida y adaptarse a las circunstancias de la empresa.
• Factor humano: un buen SGR se define por el factor cultural y humano y se lo toma muy en serio.
• Transparencia: todas las partes implicadas deben tener una visión completa del SGR.
• Dinámico: un SGR que funcione bien se adaptará sin esfuerzo a las nuevas condiciones.
• Mejora: como proceso continuo, el SGR mejora constantemente.

En el cuarto capítulo de la ISO 31000, se describe un marco para el sistema de gestión de riesgos que se basa en los principios descritos más arriba y que establece cinco puntos que determinan la estructura del sistema.

• Integración: antes de poder implementar un sistema de gestión de riesgos con éxito, hay que comprender la estructura de la empresa. Después, la dirección tiene que establecer una estrategia y nombrar a los responsables.
• Diseño: al diseñar el SGR, se tienen en cuenta tanto factores internos, como externos. En una declaración por escrito, la dirección de la organización se compromete con la gestión de riesgos y deja clara la estrategia y la asignación de roles a todos los empleados.
• Implementación: para implementar el SGR en la empresa, es necesario cambiar algunos procedimientos. El objetivo es que todos los empleados asuman el sistema y lo incorporen al trabajo diario.
• Evaluación: el SGR debe evaluarse periódicamente para comparar los objetivos establecidos con los resultados reales y garantizar su efectividad a largo plazo.
• Mejora: las revisiones periódicas también sirven para realizar mejoras continuas. El SGR debe adaptarse dinámicamente a los cambios en la empresa y, por lo tanto, seguir optimizándose a largo plazo.

Una vez implementado el sistema en la empresa, será la hora de introducir y aplicar procesos de gestión de riesgos. Frente al marco y los principios básicos, los procesos son medidas concretas adaptadas a la empresa. Como la norma ISO 31000, por lo general, puede implementarse en todas las empresas de cualquier sector, hay que tener presente que la norma solo proporciona directivas que, en la práctica, deben adaptarse a la empresa en cuestión.

En este sentido, son dos los factores que desempeñan el papel más importante: la comunicación y la evaluación de riesgos. Los llamados grupos de interés (todas las personas implicadas en la gestión de riesgos de acuerdo con la ISO 31000) deben ser informados sobre los pasos que se dan para implementarla. Realizando charlas con todos los empleados, el SGR podrá adaptarse cada vez más a las necesidades de la empresa a lo largo del tiempo.

El primer paso de la evaluación de riesgos consiste en identificar los riesgos potenciales. Una vez se ha elaborado una descripción general de los riesgos, estos se asignan a los diferentes responsables. Estas personas, a su vez, analizan y evalúan los riesgos sobre la base de estudios. La evaluación de los riesgos también puede servir para predecir el alcance de estos problemas potenciales y los medios para contrarrestarlos.

Una vez finalizada la evaluación, se puede comenzar a gestionar los riesgos. De este modo, es posible evitar algunos de ellos por completo, reducir su alcance o, simplemente, aceptar sus efectos y no hacer nada al respecto. En algunos casos, la empresa decidirá ceder la gestión a un tercero. Completan el proceso el seguimiento de los riesgos y la elaboración de informes sobre los análisis.

Otros estándares ISO de gestión empresarial ofrecen la gran ventaja de poder obtener la correspondiente certificación. Con un certificado, la implementación del sistema estandarizado puede demostrarse a nivel internacional. La norma ISO 31000 no ofrece esta opción, pero, aun así, vale la pena seguir sus pautas.

Una gestión de riesgos inadecuada puede tener consecuencias dramáticas para la empresa, ya que, en este caso, los riesgos quizás no se identifiquen en absoluto o se identifiquen demasiado tarde. Además, sin un sistema de gestión razonable, los empleados no saben a qué atenerse a la hora de enfrentarse a los riesgos. La norma ISO 31000 ofrece pautas y consejos elaborados por expertos, que aseguran la implementación de un buen sistema si se siguen las pautas.

Sin embargo, introducir o modificar un SGR según la ISO 31000 tiene una desventaja: lleva mucho tiempo y, a veces, resulta caro. Con este estándar no es posible programar los cambios necesarios en una sola reunión y, luego, implementarlos en el plazo de pocos días, sino que se requiere analizar el tema a fondo, implicarse en la empresa, valorar bien los riesgos potenciales y planificar y desarrollar un sistema para afrontarlos, algo que comporta mucho esfuerzo. Además, los responsables también deben estar capacitados para hacerlo, lo que puede conllevar costes adicionales.

Por favor, ten en cuenta el aviso legal relativo a este artículo.