Guía para implementar un sistema de gestión de riesgos, según la ISO 31000

Contar con un adecuado sistema de gestión de riesgos, además de cumplir con la normativa exigida, permite a las organizaciones cumplir sus objetivos de negocio.

Introducción

Ninguna empresa, sin importar su origen o tamaño, está exenta de sufrir algún tipo de riesgo que pueda afectar de forma directa o indirecta el desarrollo de sus actividades y el cumplimiento de sus objetivos. Por eso, cada vez es más importante desarrollar un sistema de gestión de riesgos que permita actuar de manera eficaz para evitar consecuencias fatales.

La norma ISO 31000 ofrece diferentes herramientas para implementar buenas prácticas en la gestión de riesgos.  Esta normativa internacional se adapta a cualquier tipo de compañía y su implementación permite cumplir con los requisitos legales y obtener resultados positivos en la organización.

Una herramienta tecnológica como Pirani te facilitará la implementación de las prácticas que indica la ISO 31000 y así podrás gestionar de una manera óptima los procesos de Gobierno Corporativo.

En la siguiente guía encontrarás información útil para que establezcas un sistema de gestión de riesgos según lo que necesita tu empresa y además, puedas cumplir con los requerimientos exigidos por los diferentes entes de control.

¿Qué es la gestión de riesgos?

Es el proceso que se realiza para identificar y gestionar los riesgos a los que puede estar expuesta la organización, además, para validar la eficiencia de los controles y crear planes de acción que ayude a mitigarlos, aprovecharlos o en caso de que no se puedan prevenir contar con una estrategia que permita reducir las pérdidas.

En muchas ocasiones, estas amenazas o riesgos también pueden crear valor, pues las empresas establecen métodos para generar un equilibrio entre los objetivos de crecimiento, rentabilidad y los riesgos a los que están asociados para contar con una consecución adecuada.

Aunque la gestión de riesgos es liderada por los directores o la junta directiva, es importante saber que es un tema que debe involucrar a todos los miembros de la entidad y por ende se debe crear e implementar una cultura de riesgos. 

gestion-de-riesgos

¿Qué es la norma ISO 31000?

02_PP_guia-del-sistema-de-gestion-iso-31000

La norma ISO 31000 es una guía o referente internacional que ofrece directrices y principios para poner en marcha un sistema de gestión de riesgos en las organizaciones. Fue publicada en noviembre del 2009 por la Organización Internacional de Normalización (ISO), y actualizada en 2018, para que las compañías gestionen sus riesgos de una manera efectiva a través de procedimientos que les permitan cumplir sus objetivos.

Esta norma tiene insumos globales que permiten realizar una adecuada y eficiente gestión de riesgos enfocados en operatividad, gobierno y confianza, además, brinda recomendaciones de mejores prácticas e incluye buenas técnicas relacionadas con seguridad en el lugar del trabajo.

La norma ISO 31000 puede ser usada por cualquier tipo de organización, sin importar el sector al que pertenezca, porque ofrece estrategias de decisión, operaciones y procesos para los riesgos y se ajusta a cualquier escenario. 

Y aunque la ISO 31000 no es una norma certificable, implementarla en tu empresa te ayuda minimizar la amenaza al riesgo en cualquier momento, además, la mayoría de los entes reguladores la toman como referencia para la promulgación de normas aplicables. 

Ventajas de la norma ISO 31000

  • Contribuye a mejorar la eficacia operativa y la gobernanza.
  • Genera confianza porque se utilizan métodos adecuados para la gestión de riesgo.
  • Aplica controles de sistema de gestión para analizar riesgos y de esta manera mitigar las posibles pérdidas.
  • Mejora la resiliencia de los sistemas de gestión.
  • Responde de manera eficiente a los cambios protegiendo así a la organización.
  • Se adapta a cualquier tipo de riesgos sin importar su naturaleza o causa. 

h_grupos_6

Gestión de riesgos según la norma ISO 31000

La norma ISO 31000 define la gestión o administración de riesgos como aquellas actividades que se realizan para seguir y controlar los riesgos a los que se ven enfrentadas las compañías. En este proceso uno de los aspectos más importantes es la cuantificación y para eso hay que tener en cuenta dos conceptos:

1. Consecuencia: son los eventos que afectan al cumplimiento de los objetivos y que son procedentes de otros, en este punto hay considerar los que se clasifican en causa-efecto.

2. Probabilidad: es la posibilidad de que un evento suceda. En este punto es importante contemplar que estos hechos pueden provenir de las decisiones que se toman en la organización. La probabilidad generalmente se divide en 5 escalas como: raro, probable, improbable, posible y muy frecuente. 

Ventajas y beneficios de implementar un sistema de gestión de riesgos

  • Aumenta la probabilidad de alcanzar los objetivos propuestos.
  • Fomenta la gestión proactiva.
  • Genera consciencia sobre la necesidad de identificar y tratar los riesgos.
  • Identifica oportunamente los riesgos a los que está expuesta la empresa.
  • Cumple con los requisitos legales, reglamentaciones pertinentes y normas internacionales.
  • Mejora la presentación de informes obligatorios y voluntarios.
  • Mejora el gobierno corporativo.
  • Mejora la confianza y honestidad de las partes involucradas.
  • Minimiza pérdidas y protege los recursos de la empresa.
  • Establece una base confiable para la toma de decisiones y la planificación.
  • Asigna y usa eficazmente los recursos para el tratamiento del riesgo.
  • Mejora la eficacia y la eficiencia operativa.
  • Incrementa el desempeño de la salud y la seguridad, así como la protección ambiental.
  • Mejora la prevención de pérdidas y la gestión de incidentes.
  • Mejora el aprendizaje, la flexibilidad y la cultura organizacional.
  • Mejora los controles. 
  • Genera valor a la organización.
  • Se le da un adecuado manejo a la incertidumbre.
  • Es amigable al cambio.
  • Crea y protege el valor: logro objetivos / mejora de desempeño.

Importancia de contar con un sistema de gestión de riesgos (SGR)

gestion-riesgos-iso-31000

Contar con un sistema de gestión de riesgos es importante porque permite identificar, reducir, planificar y tomar buenas decisiones referentes a los riesgos.

Este sistema brinda las herramientas necesarias para tener una gestión de riesgos adecuada y se puede aplicar desde el inicio en cualquier escenario: estrategias, decisiones, procesos, funciones, proyectos, servicios y activos. 

Tener un sistema de gestión de riesgos es la mejor forma para anticiparse a lo que puede ocurrir y crear estrategias que permitirán abordar las amenazas para así, evitar consecuencias fatales.

Principios para la gestión de riesgos

La norma ISO 31000 ofrece varios principios que ayudan a la gestión de riesgos en las empresas:

  • Integrada: debe ser parte de toda la empresa.
  • Estructurada y exhaustiva: esto contribuye a resultados coherentes y comparables.
  • Adaptable: al contexto interno y externo de la organización.
  • Inclusiva: permite la participación de diferentes partes interesadas.
  • Dinámica: los riesgos pueden aparecer, cambiar o desparecer de acuerdo a lo que sucede en el contexto externo e interno.
  • Mejor información disponible: debe ser clara y oportuna para los interesados.
  • Factores humanos y culturales: el comportamiento humano influye en todos los aspectos de la gestión de riesgos.
  • Mejora continua: gracias al aprendizaje y la experiencia.


    Nueva llamada a la acción

Estructura para implementar un sistema de gestión de riesgos basado en la norma ISO 31000

estructura-sistema-gestion-de-riesgos


1. Marco de referencia

El marco de referencia para implementar un sistema de gestión de riesgos incluye los siguientes elementos:

  • Políticas de riesgos: son los lineamientos generales que las entidades deben adoptar en relación con el SGR. Cada una de las etapas y elementos del sistema debe contar con unas políticas claras, de hecho, estas políticas deben permitir un adecuado funcionamiento del SGR y traducirse en reglas de conducta y procedimientos que orienten la actuación de la organización.
  • Integración de procesos: los que son propios del sistema y todos los que son de la compañía ya que es transversal.
  • Recursos: necesarios para implementar y mantener en funcionamiento, de forma efectiva y eficiente, el sistema de gestión de riesgos.
  • Contexto externo: se refiere a los factores del entorno cultural, político, legal, reglamentario, financiero, económico y competitivo, bien sea internacional, nacional, regional o local. Tendencias y motivadores clave que tienen impacto en los objetivos de la organización.
  • Contexto interno: son las capacidades de la organización en términos de recursos y conocimiento, los flujos de información y los procesos de toma de decisiones, las partes involucradas al interior, los objetivos y las estrategias implementadas para lograr los objetivos, las percepciones, los valores y la cultura, las políticas y los procesos, las normas y los modelos de referencia adoptados por la organización y las estructuras, por ejemplo, de dirección, las funciones y las responsabilidades.
  • Rendición de cuentas: se refiere a las pérdidas cuando afecten el estado de resultados, estas deben registrarse en cuentas de gastos en el período en el que se materializó la pérdida, además, se refiere a las recuperaciones cuando afecten el estado de resultados y deben registrarse en cuentas de ingreso en el período en el que se materializó la recuperación.
  • Divulgación de la información: debe hacerse periódicamente y estar disponible cada vez que se requiera y diseñar un sistema adecuado de reportes tanto internos como externos que permita garantizar el funcionamiento de los propios procedimientos.

h_persona_cifras_2

  • Contexto del proceso de gestión de riesgos: se trata de definir la rendición de cuentas y las responsabilidades, así como la extensión de las actividades de gestión de riesgos que se van a ejecutar, incluyendo las exclusiones e inclusiones específicas.

    También de definir la extensión del proyecto, el proceso, la función o la actividad en términos de tiempo y localización; las relaciones entre un proyecto o actividad particular y otros proyectos o actividades de la organización; las metodologías para la valoración del riesgo; los criterios del riesgo; la manera en que se evalúa el desempeño de la gestión de riesgos y de identificar y especificar las decisiones y las acciones que se deben emprender.

    Por último, se trata de identificar los estudios que son necesarios para la elaboración del alcance y el marco de referencia, al igual que la extensión, los objetivos y los recursos necesarios para tales estudios.

  • Criterios del riesgo para la toma de decisiones: específicamente sobre la naturaleza y los tipos de consecuencias que se van a incluir y cómo se van a medir; la manera en que se van a expresar las probabilidades; cómo se determinará el nivel de un riesgo; los criterios frente a los cuales se decidirá cuándo un riesgo necesita tratamiento, cuándo es aceptable o tolerable y si se van a tomar en consideración las combinaciones de riesgos y cómo se van a considerar.

  • Comunicación y consulta: incluye el desarrollo de un plan de comunicación, la definición correcta del contexto y garantizar que se entiendan y tomen en consideración los intereses de las partes involucradas, además, la unión de diversas áreas de experticia para identificar y analizar el riesgo, garantizar que se consideren adecuadamente los diversos puntos de vista en la evaluación de estos y asegurar la aprobación y el soporte para el plan de tratamiento.

  • Documentación: hay que incluir los objetivos y el alcance, la descripción de las partes del sistema y sus funciones, un resumen del contexto externo y del interno de la organización y cómo se relaciona con la situación.

    Así mismo, el sistema o las circunstancias que se están valorando, los criterios de riesgo aplicados y su justificación, las limitaciones, afirmaciones y justificaciones de las hipótesis, la metodología de la valoración, los resultados de la identificación del riesgo, los datos, las afirmaciones y sus fuentes y validación, el análisis de sensibilidad e incertidumbre, las afirmaciones críticas y otros factores que es necesario controlar. Por último,  la discusión de los resultados, las conclusiones y recomendaciones de las referencias.

2. Proceso de gestión de riesgos

05_PP_guia-del-sistema-de-gestion-iso-31000

Para implementar un sistema de gestión de riesgos se deben realizar las siguientes actividades:

1. Establecer el contexto del SGR

Lo primero que se debe hacer es darle un puntaje a cada uno de los riesgos, sean internos o externos. Estos últimos son los que se pueden presentar por aspectos naturales, culturales, políticos, entre otros; mientras que los riesgos internos  están directamente relacionados con la compañía y todo lo que sucede dentro de esta: funciones, estrategias planteadas, temas financieros, procesos y recurso humano.

2. Identificación de los riesgos

En este punto hay que reconocer cuáles son los principales riesgos a los que está expuesta la organización. Una vez se hayan definido, se plantean otros secundarios que también podrían generar desajustes a la empresa y obstaculizar los objetivos propuestos.

Después de haberlos establecido, cada una de las áreas encargadas los asumirá como propios para de esta manera, poder ejecutar el plan que se va a llevar a cabo.

Cada área debe definir un responsable y estos se reunirán para empezar a identificar los riesgos y conocer cuáles son los factores que los pueden generar.

Para tener mayor impacto en esta etapa de identificación, es conveniente hacerse preguntas como:

  • ¿Cuál área se puede ver afectada por X riesgo?
  • ¿De qué forma la afecta?
  • ¿Qué consecuencias trae al área y a la organización en general?
  • ¿Cuál es la probabilidad de que ocurra?
  • ¿Qué consecuencias traerá?
  • ¿Es posible su prevención?
  • ¿Qué estrategia se deben poner en marcha? 

3. Análisis del riesgo

Luego de definir y consignar los riesgos, se valora en qué escala se determinarán y cuáles serán las actividades de control que se ejecutarán para identificar el impacto que puede causar. Generalmente, el impacto se identifica con variables como: limitado, bajo, moderado, alto y significativo.

Al hacer esto se puede crear un mapa de riesgos que servirá como guía para priorizar los riesgos, clasificarlos en una escala de uno a diez, siendo diez el más alto y uno el más bajo, identificar el área encargada y cuál es el plan de acción que deben poner en práctica.

06_PP_guia-del-sistema-de-gestion-iso-31000

4. Comunicación y consulta

Se busca recopilar información a través de diferentes medios para dar a conocer lo que cada una de las áreas ha encontrado durante el proceso de implementación del sistema de gestión de riesgos.

5. Análisis crítico

Se puede definir como la evaluación del sistema de gestión de riesgos que se está poniendo en marcha.  Con esto se busca resaltar los puntos positivos que ha traído la gestión y mejorar en los aspectos que no están siendo tan efectivos.

6. Tratamiento del riesgo

gestion-de-riesgos-tratamiento

7. Monitoreo

Periódicamente se deben hacer revisiones para saber si los planes de acción que se han implementado en cada uno de los riesgos son los correctos, esto ayudará a entender si la tarea se está haciendo bien y se están logrando resultados positivos o si. por el contrario, se debe mejorar y en algunos casos cambiar porque como hemos dicho, la gestión de riesgos es un proceso dinámico y se debe retroalimentar de acuerdo a los cambios que se van presentando tanto externa como internamente.

Glosario

Riesgo

Es la posibilidad de que ocurra un incidente que impacte negativamente alguna área de la compañía o al cumplimiento de los objetivos de la misma. Este se puede presentar por fallas humanas, tecnológicas, de infraestructura, procesos y eventos externos. 

Gestión de riesgos

Es la actividad que permite identificar, analizar y actuar frente a los factores de riesgos a los que se pueda enfrentar la empresa o un proyecto en específico.  

Proceso de gestión de riesgo

Son los procedimientos que se llevan a cabo dentro del sistema de gestión: definición, identificación, evaluación, monitoreo y controles de los riesgos.   

Sistema para la gestión de riesgos

Está diseñado para que las entidades puedan establecer las políticas, objetivos, procedimientos y estructura para la administración del riesgo. El sistema debe estar alineado con los planes estratégicos de cada organización

Nueva llamada a la acción

Prueba gratis Pirani

Y conoce cómo podemos ayudarte a hacer de la gestión de riesgos en tu organización un proceso más simple y eficiente.

 

 

Crea tu cuenta gratis