ISO 31000:2009 Gestin de Riesgos - Principios y directrices

Juan Villanueva Chang Diciembre, 2010

Introduccin
En 1964 Peter Druker defenda en su Managing for Results:

Economic Tasks and Risk-Taking Decisions que el riesgo se encuentra en cada decisin empresarial. Peter Bernstein, algo ms tarde, explicaba en Against the Gods: The Remarkable Story of Risk (1996) lo inevitable es errar en una cierta cantidad de nuestras decisiones, y por ello existe la imposibilidad de poder tomar siempre las decisiones adecuadas. Kevin W. Knight, quien tuvo a cargo el grupo de trabajo de ISO, todas las organizaciones, no importa si son grandes o pequeas, se enfrentan a factores internos y externos que le quitan certeza a la posibilidad de alcanzar sus objetivos. Este efecto de la falta de certeza es el riesgo y es inherente a todas las actividades.

Introduccin.
Este es el primer estndar en establecer un marco general sobre

como desarrollar los procesos de gerencia de riesgos. El texto consta de cinco clusulas y un anexo. La Organizacin Internacional para la Estandarizacin (ISO), en noviembre de 2009 puso a disposicin la norma ISO 31000:2009, Gestin de Riesgos - Principios y directrices. Es una norma que tiene como objetivo ayudar a las organizaciones de todo tipo de tamao a gestionar el riesgo con efectividad. Hasta ahora ISO simplemente contaba con la Gua ISO 73, una recopilacin de trminos sobre la gestin de riesgos que tambin acaba de ser revisada. A la par, a nivel internacional, existan las normas de origen australiano- neozelands AS/NZS 4360 y canadiense CSA Q850, que durante ms de 20 aos han sido los estndares de referencia sobre la materia.

Introduccin.
Esta norma recomienda que las organizaciones desarrollen,

implementen y mejoren continuamente un marco de trabajo o estructura de soporte (framework) cuyo objetivo es integrar el proceso de gestin de riesgos en el gobierno corporativo de la organizacin, planificacin y estrategia, gestin, procesos de informacin, polticas, valores, cultura. Puede ser aplicada por cualquier tipo de entidad pblica, privada, organizaciones sin fines de lucro, asociacin, grupo o individuo. La ISO no es especfica a alguna industria o sector. Puede ser aplicada a lo largo de la vida de una organizacin, as como una variada gama de actividades, incluidas estrategias y de decisiones, operaciones, procesos, funciones, proyectos, servicios y activos.

Introduccin.
El Australian/New Zealand Standard acogi el nuevo ISO y public

el AS/NZS ISO 31000-2009 Risk management - Principles and guidelines (originado de AS/NZS 4360:1995 y versin 2004) Se complementan al nuevo ISO 31000: Gua ISO 73:2009 Vocabulario de gestin de riesgos ISO 31010: 2009 Tcnicas para evaluacin de riesgos La gestin de riesgos debe ser un proceso continuo de apoyo a las decisiones y permitir que la organizacin responda a los cambios internos y externos. Para que ste ocurra la gestin de riesgos debe integrarse a los procesos normales del negocio. La ISO 31000 propone pautas genricas para gestionar los riesgos de manera sistemtica y transparente. En esta lnea es generalista y no aporta una clasificacin de los riesgos como la contemplan otros estndares.

Un marco de gestin de riesgos

Proceso estratgico

Comunicacin y consulta Proceso estratgico Proceso estratgico

Establecimiento de contexto

Monitoreo y Supervisin Sistema de Informacin de Gestin de Riesgos

Proceso estratgico

Tratamiento de riesgos

Evaluacin de riesgos

Identificacin de riesgos

Anlisis de riesgos

Qu es la ISO 31000?
La ISO 31000 es un documento prctico que pretende ayudar a las organizaciones en el desarrollo de su propio enfoque de gestin de riesgos. Pero esto no es un estndar para optar por una certificacin. Ellas son solo sugerencias para compararse con las mejores prcticas . Esta ISO esta estructurada en los siguientes tres elementos: Principios para la gestin de riesgos Estructura de soporte o marco de gestin de riesgos Proceso de gestin de riesgos ISO 31000:2009 parte de normas precursoras y ofrece las siguientes novedades:

ISO 31000

Novedades de ISO 31000:2009

Cambia la definicin de riesgos: Este nuevo estndar y segn la

Gua ISO/CEI 73:2009 define al riesgo como:

" el efecto de incertidumbre sobre la consecucin de los objetivos El efecto puede ser una desviacin positiva o negativa (oportunidades o amenazas) de lo que se espera. El riesgo se suele expresar en trminos de la combinacin de las consecuencias de un suceso y de su probabilidad. Establece que una organizacin debe asegurarse de cumplir en todos su niveles los principios de gestin de riesgos. Describe un marco o estructura general para la gestin de riesgos, sin que pretenda ser en si mismo un sistema de gestin certificable, sino ms bien ayudar a la organizacin a integrar la gestin.

Novedades de ISO 31000:2009..

Define un procesos para la gestin de los riesgos que debera

formar parte de la gestin, integrarse en su cultura y prcticas y adaptarse a los distintos procesos operativos de la organizacin. Para ello establece cinco actividades bsicas que se interrelacionan conforme al procesos de gestin de riesgos (AS/NZS 4360:2004) Incorpora un anexo informativo donde describe los atributos que deberan considerar las organizaciones para apuntar al nivel ms alto de desempeo en la gestin de riesgos, en relacin con la criticidad de las decisiones a tomar, e indica algunos indicadores tangibles para cada atributo.

El ISO 31000 se emplea para:

Establecer una poltica de gestin de riesgos. Asegurar que el riesgo es manejado correctamente.

Manejan y controlan el riesgo dentro de una

organizacin. Evalan prcticas de gestin de riesgos y procesos. Explican como el riesgo debera ser manejado y controlado. Desarrollan procedimientos de gestin de riesgos y guas. Preparan normas relacionadas y cdigos de prcticas relativas a la gestin de riesgo.

Beneficios del ISO 31000

Aumentar la probabilidad de alcanzar los objetivos y fomentar una gestin

proactiva.

Establecer una base confiable para la toma de decisiones y la planificacin. Ser consciente de la necesidad de identificar y tratar el riesgo en toda la organizacin. Mejorara la identificacin de oportunidades y amenazas. Cumplir con las exigencias legales, reguladoras y las normas internacionales. Mejorar la informacin financiera y la gobernanza. Mejorar la confianza de los interesados (stakeholders) y los controles.

Asignar efectivamente y utilizar los recursos para el tratamiento de los riesgos.

Mejorar la eficacia y eficiencia operativa, la salud y de seguridad, as como la proteccin del medio ambiente. Mejorar la prevencin de prdidas y gestin de incidentes as como minimizar las prdidas. Mejorar el aprendizaje organizacional y la capacidad de recuperacin de la organizacin.

ISO 31000: 2009

Principios de gestin de Riesgos

a) Crear y proteger el valor: Contribuye a la consecucin de objetivos as como la mejora de aspectos tales como la seguridad y salud laboral, cumplimiento legal y normativo, proteccin ambiental, etc. b) Estar incorporada en todos los procesos: No debe ser entendida como una actividad aislada sino como parte de las actividades y procesos principales de una organizacin. c) Ser parte de la toma de decisiones: La gestin del riesgo ayuda a la toma de decisiones evaluando la informacin sobre las distintas alternativas. d) Ser usada para tratar con la incertidumbre: La gestin de riesgo trata aquellos aspectos de la toma de decisiones que son inciertos, la naturaleza de esa incertidumbre y como puede tratarse.

Principios de Gestin de Riesgos

e) Ser estructurada, sistemtica, y oportuna: Contribuye a la eficiencia y consecuentemente, a la obtencin de resultados fiables. f) Estar basada en la mejor informacin disponible: Lis inputs del proceso de gestin de riesgos estn basados en fuentes de informacin como la experiencia, la observacin, las previsiones y la opinin de expertos. g) Ser adaptada a su entorno: Hecha a su medida, la gestin de riesgo est alineada con el contexto externo e interno de la organizacin y con su perfil de riesgo. h) Tratar con factores humanos y culturales: Reconoce la capacidad, percepcin e intenciones de la gente, tanto externa como interna que puede facilitar o dificultar la consecucin de los objetivos de la organizacin.

Principios de Gestin de Riesgos

i) Ser transparente, inclusiva, y relevante: La apropiada y oportuna participacin de los grupos de inters (stakeholders) y, en particular, de los responsables a todos los niveles, asegura que la gestin del riesgo permanece relevante y actualizada. j) Ser dinmica, sensible al cambio, e iterativa: La organizacin debe velar para que la gestin de riesgos detecte y responda a los cambios de la empresa. K) Facilitar la mejora continua de la organizacin: Las organizaciones deberan desarrollar e implementar estrategias para mejorar continuamente, tanto en la gestin del riesgo como en cualquier otro aspecto de la organizacin.

Marco de Gestin de Riesgos

4.1 ESTABLECER UN MARCO DE GESTIN DE RIESGOS La gestin de riesgos debe ser parte del sistema de la direccin en la organizacin. Tener un marco de gestin de riesgos eficaz y dar apoyo al proceso de gestin de riesgos en toda la organizacin. 4.2 HACER UN COMPROMISO DE GESTIN DE RIESGOS Debe haber una definicin de la poltica de gestin de riesgos en la organizacin, establecer indicadores de funcionamiento, formular objetivos, asignar responsabilidades, recursos , comunicar las ventajas y apoyar el marco de gestin de riesgos.

Marco de Gestin de Riesgos..

4.3 DISEAR SU MARCO DE GESTIN DE RIESGOS 4.3.1 ENTENDER EL CONTEXTO DE SU ORGANIZACIN Evaluar y entender el contexto externo de su organizacin y luego usar este conocimiento para ayudar a disear su marco de gestin de riesgos. Evaluar y entender a los interesados (stakeholders) externos de su organizacin. Entender la gobernanza, las capacidades, cultura, normas y los contratos de su organizacin. 4.3.2 FORMULAR SU POLTICA DE GESTIN DE RIESGOS Establecer una poltica de gestin de riesgos para la organizacin. Se debe hacer un compromiso claro, definir los objetivos, explicar como ser puesta en prctica la poltica y finalmente comunicar la gestin de riesgos.

Marco de Gestin de Riesgos..

4.3.3 HACER A LA GENTE RESPONSABLE DE MANEJAR RIESGO Identificar quienes son los propietarios de los riesgo en la organizacin, asignarles a cada uno autoridad para manejar los riesgos, hacer que sean responsables de su manejo, establecer mtodos de medida de funcionamiento de la gestin de riesgos y desarrollar reportes de gestin de riesgos y procesos de escala. 4.3.4 CONSTRUIR LA GESTIN DE RIESGOS EN SU ORGANIZACIN Incorporar la gestin de riesgos en todos los procesos y prcticas y desarrollar un plan de gestin en toda la organizacin. 4.3.5 ASIGNAR RECURSOS PARA LA GESTIN DE RIESGOS Asignar recursos para apoyar las actividades de gestin de riesgos en la organizacin, proporcionando gente, informacin y sistemas de direccin de conocimiento, procedimientos y mtodos de gestin de riesgos apropiados.

Marco de Gestin de Riesgos..

4.3.6 ESTABLECER MECANISMOS DE COMUNICACIN INTERNOS Establecer la comunicacin de gestin de riesgos interna, externa, mecanismos de reporte e informes. 4.3.7 DESARROLLAR UN PLAN DE COMUNICACIN EXTERNO Desarrollar y poner en prctica un plan de comunicacin con los interesados (stakeholders) externos de su organizacin. 4.4 PONER EN PRCTICA SU ACERCAMIENTO A LA GESTIN DE RIESGOS 4.4.1 PONER EN PRCTICA SU MARCO DE GESTIN DE RIESGOS Desarrollar y poner en prctica un marco de gestin de riesgos en la organizacin.

Marco de Gestin de Riesgos..

4.4.2 PONER EN PRCTICA SU PROCESO DE GESTIN DE RIESGOS Desarrollar un plan que explique como tiene la intencin de aplicar el proceso de gestin de riesgos de su organizacin. Usar su gestin de riesgos para planificar y poner en prctica el proceso de gestin de riesgos de su organizacin. 4.5 SUPERVISAR SU MARCO DE GESTIN DE RIESGOS Evaluar la eficacia en curso de su marco de gestin de riesgos y preparar informes sobre su eficacia. 4.6 MEJORAR SU MARCO DE GESTIN DE RIESGOS Estudiar y entender los resultados de su supervisin de gestin de riesgos y repasar las actividades.

Proceso de Gestin de Riesgos

5.1 APLICAR SU PROCESO DE GESTIN DE RIESGOS Aplicar y hacer como nica cultura el proceso de gestin de riesgos 5.2 COMUNICARSE Y CONSULTAR CON SUS INTERESADOS (STAKEHOLDERS) Comunicar y consultar con los interesados (stakeholders) durante todas las etapas del proceso de gestin de riesgos. 5.3 ESTABLECER SU CONTEXTO NICO DE GESTIN DE RIESGOS 5.3.1 ESTABLECER SUS PARMETROS DE GESTIN DE RIESGOS Identificar, definir el contexto interno y externo as como entender los parmetros y variables que influya en el control y como su organizacin maneja el riesgo.

Proceso de Gestin de Riesgos..

5.3.2 ESTABLECER EL CONTEXTO EXTERNO DE SU ORGANIZACIN Identificar y entender el contexto externo de su organizacin, las condiciones ambientales, factores claves externos, preocupaciones de los stakeholders y considerar la influencia que estos podran tener sobre su capacidad de manejar el riesgo y alcanzar sus objetivos. 5.3.3 ESTABLECER EL CONTEXTO INTERNO DE SU ORGANIZACIN Identificar y entender el contexto interno, su gobernanza, capacidades, normas, cultura, contratos, stakeholders de su organizacin y considerar la influencia que estos podran tener sobre su capacidad de manejar el riesgo y alcanzar objetivos.

Proceso de Gestin de Riesgos..

5.3.4 ESTABLECER EL CONTEXTO DE SU PROCESO DE GESTIN DE RIESGOS Establecer el nico contexto de su proceso de gestin de riesgos. Identificar las reas de la organizacin o las partes que participarn en su gestin de riesgos, tratan y se aseguran que entiende lo que ellos hacen y como ellos lo hacen. Definir los objetivos, actividades, recursos y las actividades de gestin de riesgos y proyectos que tiene la intencin de realizar. Definir las responsabilidades y decisiones de gestin de riesgos y las autoridades de todos los participantes de proceso. Definir las metodologas y estudios de evaluacin de riesgo que tienen la intencin de usar para cada proceso de gestin de riesgos o proyecto. Definir como el funcionamiento de proceso de gestin de riesgos y su eficacia sern evaluados as como llevar los registros.

Proceso de Gestin de Riesgos..

5.3.5 ESTABLECER LOS CRITERIOS DE RIESGO DE SU ORGANIZACIN Definir los criterios de riesgo de su organizacin. Considerar su organizacin y como esta funciona, las vistas de los interesados (stakeholders), la naturaleza y el tipo de causas, las consecuencias y los impactos que podran ocurrir, la probabilidad, el nivel de riesgo que ser determinado cuando define sus criterios de riesgo. 5.4 REALIZAR EL PROCESO DE EVALUACIN DE RIESGO DE SU ORGANIZACIN 5.4.1 IDENTIFICAR, ANALICE, Y EVALE LOS RIESGOS Realizar su proceso de evaluacin de riesgo. Identificar, analizar y evaluar los riesgos de su organizacin.

Proceso de Gestin de Riesgos..

5.4.2 IDENTIFICAR LOS RIESGOS DE SU ORGANIZACIN Escoger instrumentos de identificacin de riesgo convenientes y tcnicas. Seleccionar a la gente conveniente para identificar los riesgos de su organizacin. Usar sus instrumentos y tcnicas para identificar los riesgos que podran afectar el logro de los objetivos de su organizacin. Generar una lista exhaustiva de los riesgos que podran afectar el logro de los objetivos de su organizacin. 5.4.3 ANALIZAR LOS RIESGOS DE SU ORGANIZACIN Analizar y estimar los niveles de riesgos que su organizacin afronta. Especificar cuanta confianza tiene usted en su anlisis. Usar su anlisis de riesgo para entender los riesgos de su organizacin y comunicar los resultados de su anlisis. 5.4.4 EVALUAR LOS RIESGOS DE SU ORGANIZACIN Usar los resultados de su anlisis de riesgo para considerar sus opciones de tratamiento de riesgo.

Proceso de Gestin de Riesgos..

5.5 FORMULAR Y PONER EN PRCTICA SUS PROYECTOS DE TRATAMIENTO DE RIESGO 5.5.1 EXPLORAR LAS OPCIONES DE TRATAMIENTO DE RIESGO DE SU ORGANIZACIN Establecer y considerar las opciones de tratamiento de riesgo en su organizacin. 5.5.2 SELECCIONAR LAS OPCIONES DE TRATAMIENTO DE RIESGO DE SU ORGANIZACIN Seleccionar y planificar la puesta en prctica de las opciones de tratamiento de riesgo apropiadas. 5.5.3 PREPARAR PROYECTOS DE PUESTA EN PRCTICA DE TRATAMIENTO DE RIESGO Documentar los proyectos de tratamiento de riesgo de su organizacin. Divulgar y realizar los proyectos de tratamiento de riesgo con todos los participantes.

Proceso de Gestin de Riesgos..

5.6 SUPERVISAR Y REPASAR SU PROCESO DE GESTIN DE RIESGOS Registrar, supervisar y repasar todos los aspectos de su proceso de gestin de riesgos. 5.7 MANTENER UN REGISTRO DE ACTIVIDADES DE GESTIN DE RIESGOS Crear, mantener y usar los registros para apoyar su proceso de gestin de riesgos.

Conclusiones
Lo importante en la adopcin de un modelo de gestin de riesgos es que: Sea fcilmente comprendida en la organizacin. El Directorio debe tomar las decisiones basadas en riesgos. Que la implementacin del modelo sea liderada por la alta gerencia, y Que la responsabilidad de los riesgos sea encabezada por las unidades de negocio y sus reas funcionales.