La edición en español de las Directrices de la ISO 31000:2018(es) reúne información valiosa para las personas que crean y protegen el valor en las organizaciones gestionando riesgos, tomando decisiones, estableciendo y logrando objetivos y mejorando el desempeño.
Este documento presenta ciertas características de la gestión del riesgo:
- Es iterativa y asiste a las organizaciones a establecer su estrategia, lograr sus objetivos y tomar decisiones informadas.
- Es parte de la gobernanza y el liderazgo y es fundamental en la manera en que se gestiona la organización en todos sus niveles. Esto contribuye a la mejora de los sistemas de gestión.
- Es parte de todas las actividades asociadas con la organización e incluye la interacción con las partes interesadas.
- Considera los contextos externo e interno de la organización, incluido el comportamiento humano y los factores culturales.
- Está basada en los principios, el marco de referencia y el proceso descritos en este documento, conforme se ilustra en la figura 1. Estos componentes podrían existir previamente en toda o parte de la organización, sin embargo, podría ser necesario adaptarlos o mejorarlos para que la gestión del riesgo sea eficiente, eficaz y coherente.
A. Principios
El propósito de la gestión del riesgo es la creación y la protección del valor. Mejora el desempeño, fomenta la innovación y contribuye al logro de objetivos.
Los principios descritos en la figura 2 proporcionan orientación sobre las características de una gestión del riesgo eficaz y eficiente, comunicando su valor y explicando su intención y propósito. Los principios son el fundamento de la gestión del riesgo y se deberían considerar cuando se establece el marco de referencia y los procesos de la gestión del riesgo de la organización. Estos principios deberían habilitar a la organización para gestionar los efectos de la incertidumbre sobre sus objetivos.
La gestión del riesgo eficaz requiere los elementos de la figura 2 y puede explicarse de la siguiente manera:
- a) Integrada
La gestión del riesgo es parte integral de todas las actividades de la organización.
- b) Estructurada y exhaustiva
Un enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a resultados coherentes y comparables.
- c) Adaptada
El marco de referencia y el proceso de la gestión del riesgo se adaptan y son proporcionales a los contextos externo e interno de la organización relacionados con sus objetivos.
- d) Inclusiva
La participación apropiada y oportuna de las partes interesadas permite que se consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una mayor toma de conciencia y una gestión del riesgo informada.
- e) Dinámica
Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos externo e interno de la organización. La gestión del riesgo anticipa, detecta, reconoce y responde a esos cambios y eventos de una manera apropiada y oportuna.
- f) Mejor información disponible
Las entradas a la gestión del riesgo se basan en información histórica y actualizada, así como en expectativas futuras. La gestión del riesgo tiene en cuenta explícitamente cualquier limitación e incertidumbre asociada con tal información y expectativas. La información debería ser oportuna, clara y disponible para las partes interesadas pertinentes.
- g) Factores humanos y culturales
El comportamiento humano y la cultura influyen considerablemente en todos los aspectos de la gestión del riesgo en todos los niveles y etapas.
- h) Mejora continua
La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.
B. Marco de referencia
Generalidades
El propósito del marco de referencia de la gestión del riesgo es asistir a la organización en integrar la gestión del riesgo en todas sus actividades y funciones significativas. La eficacia de la gestión del riesgo dependerá de su integración en la gobernanza de la organización, incluyendo la toma de decisiones. Esto requiere el apoyo de las partes interesadas, particularmente de la alta dirección.
El desarrollo del marco de referencia implica integrar, diseñar, implementar, valorar y mejorar la gestión del riesgo a lo largo de toda la organización. La figura 3 ilustra los componentes del marco de referencia.
La organización debería valorar sus prácticas y procesos existentes de la gestión del riesgo, valorar cualquier brecha y abordar estas brechas en el marco de referencia.
Los componentes del marco de referencia y la manera en la que trabajan juntos, deberían adaptarse a las necesidades de la organización.
Liderazgo y compromiso
La alta dirección y los órganos de supervisión, cuando sea aplicable, deberían asegurar que la gestión del riesgo esté integrada en todas las actividades de la organización y deberían demostrar el liderazgo y compromiso:
- —adaptando e implementando todos los componentes del marco de referencia;
- —publicando una declaración o una política que establezca un enfoque, un plan o una línea de acción para la gestión del riesgo;
- —asegurando que los recursos necesarios se asignan para gestionar los riesgos;
- —asignando autoridad, responsabilidad y obligación de rendir cuentas en los niveles apropiados dentro de la organización;
Esto ayudará a la organización a:
- —alinear la gestión del riesgo con sus objetivos, estrategia y cultura;
- —reconocer y abordar todas las obligaciones, así como sus compromisos voluntarios;
- —establecer la magnitud y el tipo de riesgo que puede o no ser tomado para guiar el desarrollo de los criterios del riesgo, asegurando que se comunican a la organización y a sus partes interesadas.
- —comunicar el valor de la gestión del riesgo a la organización y sus partes interesadas;
- —promover el seguimiento sistemático de los riesgos;
- —asegurarse de que el marco de referencia de la gestión del riesgo permanezca apropiado al contexto de la organización.
La alta dirección rinde cuentas por gestionar el riesgo mientras que los órganos de supervisión rinden cuentas por la supervisión de la gestión del riesgo. Frecuentemente se espera o se requiere que los órganos de supervisión:
- —se aseguren de que los riesgos se consideran apropiadamente cuando se establezcan los objetivos de la organización;
- —comprendan los riesgos a los que hace frente la organización en la búsqueda de sus objetivos;
- —se aseguren de que los sistemas para gestionar estos riesgos se implementen y operen eficazmente;
- —se aseguren de que estos riesgos sean apropiados en el contexto de los objetivos de la organización;
- —se aseguren de que la información sobre estos riesgos y su gestión se comunique de la manera apropiada.
Integración
La integración de la gestión del riesgo depende de la comprensión de las estructuras y el contexto de la organización. Las estructuras difieren dependiendo del propósito, las metas y la complejidad de la organización. El riesgo se gestiona en cada parte de la estructura de la organización. Todos los miembros de una organización tienen la responsabilidad de gestionar el riesgo.
La gobernanza guía el curso de la organización, sus relaciones externas e internas y las reglas, los procesos y las prácticas necesarios para alcanzar su propósito. Las estructuras de gestión convierten la orientación de la gobernanza en la estrategia y los objetivos asociados requeridos para lograr los niveles deseados de desempeño sostenible y de viabilidad en el largo plazo. La determinación de los roles para la rendición de cuentas y la supervisión de la gestión del riesgo dentro de la organización son partes integrales de la gobernanza de la organización.
La integración de la gestión del riesgo en la organización es un proceso dinámico e iterativo, y se debería adaptar a las necesidades y a la cultura de la organización. La gestión del riesgo debería ser una parte de, y no estar separada del propósito, la gobernanza, el liderazgo y compromiso, la estrategia, los objetivos y las operaciones de la organización.
Diseño
Comprensión de la organización y de su contexto:
La organización debería analizar y comprender sus contextos externo e interno cuando diseñe el marco de referencia para gestionar el riesgo.
El análisis del contexto externo de la organización puede incluir, pero no limitarse a:
- —los factores sociales, culturales, políticos, legales, reglamentarios, financieros, tecnológicos, económicos y ambientales ya sea a nivel internacional, nacional, regional o local;
- —los impulsores clave y las tendencias que afectan a los objetivos de la organización;
- —las relaciones, percepciones, valores, necesidades y expectativas de las partes interesadas externas;
- —las relaciones contractuales y los compromisos;
- —la complejidad de las redes y dependencias.
El análisis del contexto interno de la organización puede incluir, pero no limitarse a:
- —la visión, la misión y los valores;
- —la gobernanza, la estructura de la organización, los roles y la rendición de cuentas;
- —la estrategia, los objetivos y las políticas;
- —la cultura de la organización;
- —las normas, las directrices y los modelos adoptados por la organización;
- —las capacidades, entendidas en términos de recursos y conocimiento (por ejemplo, capital, tiempo, personas, propiedad intelectual, procesos, sistemas y tecnologías);
- —los datos, los sistemas de información y los flujos de información;
- —las relaciones con partes interesadas internas, teniendo en cuenta sus percepciones y valores;
- —las relaciones contractuales y los compromisos;
- —las interdependencias e interconexiones.
Articulación del compromiso con la gestión del riesgo:
La alta dirección y los organismos de supervisión, cuando sea aplicable, deberían articular y demostrar su compromiso continuo con la gestión del riesgo mediante una política, una declaración u otras formas que expresen claramente los objetivos y el compromiso de la organización con la gestión del riesgo. El compromiso debería incluir, pero no limitarse a:
- —el propósito de la organización para gestionar el riesgo y los vínculos con sus objetivos y otras políticas;
- —el refuerzo de la necesidad de integrar la gestión del riesgo en toda la cultura de la organización;
- —el liderazgo en la integración de la gestión del riesgo en las actividades principales del negocio y la toma de decisiones;
- —las autoridades, las responsabilidades y la obligación de rendir cuentas;
- —la disponibilidad de los recursos necesarios;
- —la manera de manejar los objetivos en conflicto;
- —la medición e informe como parte de los indicadores de desempeño de la organización;
- —la revisión y la mejora.
El compromiso con la gestión del riesgo se debería comunicar dentro de la organización y a las partes interesadas, de manera apropiada.
Asignación de roles, autoridades, responsabilidades y obligación de rendir cuentas en la organización:
La alta dirección y los órganos de supervisión, cuando sea aplicable, deberían asegurarse de que las autoridades, las responsabilidades y la obligación de rendir cuentas de los roles relevantes con respecto a la gestión del riesgo se asignen y comuniquen a todos los niveles de la organización y deberían:
- —enfatizar que la gestión del riesgo es una responsabilidad principal;
- —identificar a las personas que tienen asignada la obligación de rendir cuentas y la autoridad para gestionar el riesgo (dueños del riesgo).
Asignación de recursos:
La alta dirección y los órganos de supervisión, cuando sea aplicable, deberían asegurar la asignación de los recursos apropiados para la gestión del riesgo, que puede incluir, pero no limitarse a:
- —las personas, las habilidades, la experiencia y las competencias;
- —los procesos, los métodos y las herramientas de la organización a utilizar para gestionar el riesgo;
- —los procesos y procedimientos documentados;
- —los sistemas de gestión de la información y del conocimiento;
- —el desarrollo profesional y las necesidades de formación.
La organización debería considerar las competencias y limitaciones de los recursos existentes.
Establecimiento de la comunicación y la consulta:
La organización debería establecer un enfoque aprobado con relación a la comunicación y la consulta, para apoyar el marco de referencia y facilitar la aplicación eficaz de la gestión del riesgo. La comunicación implica compartir información con el público objetivo. La consulta además implica que los participantes proporcionen retroalimentación con la expectativa de que ésta contribuya y de forma a las decisiones u otras actividades. Los métodos y el contenido de la comunicación y la consulta deberían reflejar las expectativas de las partes interesadas, cuando sea pertinente.
La comunicación y la consulta deberían ser oportunas y asegurar que se recopile, consolide, sintetice y comparta la información pertinente, cuando sea apropiado, y que se proporcione retroalimentación y se lleven a cabo mejoras.
Implementación
La organización debería implementar el marco de referencia de la gestión del riesgo mediante:
- —el desarrollo de un plan apropiado incluyendo plazos y recursos;
- —la identificación de dónde, cuándo, cómo y quién toma diferentes tipos de decisiones en toda la organización;
- —la modificación de los procesos aplicables para la toma de decisiones, cuando sea necesario;
- —el aseguramiento de que las disposiciones de la organización para gestionar el riesgo son claramente comprendidas y puestas en práctica.
La implementación con éxito del marco de referencia requiere el compromiso y la toma de conciencia de las partes interesadas. Esto permite a las organizaciones abordar explícitamente la incertidumbre en la toma de decisiones, al tiempo que asegura que cualquier incertidumbre nueva o subsiguiente se pueda tener en cuenta cuando surja.
Si se diseña e implementa correctamente, el marco de referencia de la gestión del riesgo asegurará que el proceso de la gestión del riesgo sea parte de todas actividades en toda la organización, incluyendo la toma de decisiones, y que los cambios en los contextos externo e interno se captarán de manera adecuada.
Valoración
Para valorar la eficacia del marco de referencia de la gestión del riesgo, la organización debería:
- —medir periódicamente el desempeño del marco de referencia de la gestión del riesgo con relación a su propósito, sus planes para la implementación, sus indicadores y el comportamiento esperado;
- —determinar si permanece idóneo para apoyar el logro de los objetivos de la organización.
Mejora
Adaptación:
La organización debería realizar el seguimiento continuo y adaptar el marco de referencia de la gestión del riesgo en función de los cambios externos e internos. Al hacer esto, la organización puede mejorar su valor.
Mejora continua:
La organización debería mejorar continuamente la idoneidad, adecuación y eficacia del marco de referencia de la gestión del riesgo y la manera en la que se integra el proceso de la gestión del riesgo.
Cuando se identifiquen brechas u oportunidades de mejora pertinentes, la organización debería desarrollar planes y tareas y asignarlas a quienes tuviesen que rendir cuentas de su implementación. Una vez implementadas, estas mejoras deberían contribuir al fortalecimiento de la gestión del riesgo.
Fuente: ISO.ORG – Online Browsinf Plataform
SANTA LUCIA BIDO dice
EXCELENTE MATERIAL
Douglas Eduardo Reid dice
Excelente explicacion