ISO 31000: 2018 Gestión de riesgo en organizaciones

Publicada el 22/02/2018

El daño a la reputación o la marca, el delito cibernético, el riesgo político y el terrorismo son algunos de los riesgos que las organizaciones privadas y públicas de todo tipo y tamaño en todo el mundo deben enfrentar con mayor frecuencia. La última versión de ISO 31000 acaba de ser presentada para ayudar a manejar la incertidumbre.

El riesgo es parte de cada decisión de la vida, pero es evidente que algunas decisiones necesitan un enfoque estructurado. Por ejemplo, un alto ejecutivo o funcionario del gobierno puede necesitar hacer juicios de riesgo asociados con situaciones muy complejas. Hacer frente al riesgo es parte de la dirección  y el liderazgo, y es fundamental para la gestión de una organización en todos los niveles.

Las prácticas de gestión de riesgos de ayer ya no son adecuadas para enfrentar las amenazas de hoy y deben evolucionar. Estas consideraciones fueron la base de la revisión de ISO 31000, Gestión del riesgo - Directrices, cuya última versión acaba de publicarse.  ofrece una guía más clara, breve y concisa que ayudará a las organizaciones a utilizar principios de gestión de riesgos para mejorar la planificación y tomar mejores decisiones. Los siguientes son los principales cambios desde la edición anterior:

•  Revisión de los principios de la gestión de riesgos, que son los criterios clave para su éxito
• Centrarse en el liderazgo de la alta dirección que debe garantizar que la gestión de riesgos se integre en todas las actividades de la organización, comenzando con la gobernanza de la organización
• Mayor énfasis en la naturaleza iterativa de la gestión de riesgos, aprovechando las nuevas experiencias, el conocimiento y el análisis para la revisión de los elementos del proceso, las acciones y los controles en cada etapa del proceso.
• Optimización del contenido con un mayor enfoque en el mantenimiento de un modelo de sistemas abiertos que regularmente intercambia retroalimentación con su entorno externo para adaptarse a múltiples necesidades y contextos

Jason Brown, presidente del comité técnico ISO / TC 262 sobre gestión de riesgos que desarrolló el estándar, dice: "La versión revisada de ISO 31000 se centra en la integración con la organización y el papel de los líderes y su responsabilidad. Los profesionales del riesgo suelen estar al margen de la gestión de la organización y este énfasis les ayudará a demostrar que la gestión del riesgo es una parte integral de los negocios ".

Cada sección de la norma se revisó con un espíritu de claridad, utilizando un lenguaje más simple para facilitar la comprensión y hacerla accesible a todas las partes interesadas. La versión 2018 se enfoca más en crear y proteger el valor como el impulsor clave de la gestión del riesgo y presenta otros principios relacionados tales como la mejora continua, la inclusión de partes interesadas, la personalización de la organización y la consideración de factores humanos y culturales.

El riesgo ahora se define como el "efecto de la incertidumbre en los objetivos", que se centra en el efecto del conocimiento incompleto de eventos o circunstancias en la toma de decisiones de una organización. Esto requiere un cambio en la comprensión tradicional del riesgo, lo que obliga a las organizaciones a adaptar la gestión del riesgo a sus necesidades y objetivos, un beneficio clave del estándar. Jason Brown explica: "ISO 31000 proporciona un marco de gestión de riesgos que respalda todas las actividades, incluida la toma de decisiones en todos los niveles de la organización. El marco ISO 31000 y sus procesos deben integrarse con los sistemas de gestión para garantizar la coherencia y la efectividad del control de gestión en todas las áreas de la organización. Esto incluiría estrategia y planificación, resiliencia organizacional, TI, gobierno corporativo, RR.HH., cumplimiento, calidad , salud y seguridad, continuidad del negocio, gestión de crisis y seguridad.

El estándar resultante no es solo una nueva versión de ISO 31000. Alcanzar más allá de una simple revisión, le da un nuevo significado a la forma en que administraremos el riesgo mañana. En cuanto a la certificación, ISO 31000: 2018 proporciona directrices, no requisitos, y por lo tanto no está destinado a fines de certificación. Esto le da a los gerentes la flexibilidad para implementar el estándar de una manera que se adapte a las necesidades y objetivos de su organización.