ISO 31000:2009 Gestió Ges tión n de Riesgo Riesgos s - Pri Princi ncipio pios sy directrices
Juan Villanueva Chang Diciembre, 2010
Introducción
En 1964 Peter Druker defendía en su “Mana Managi ging ng for Resul esults ts:: Econom Economic ic Tasks asks and Risk Risk--Taking aking Decisi Decisions ons” que el riesgo se encuentra en cada decisión empresarial. Peter Bernstein, algo más tarde, explicaba en “ Against Against the Gods: The The Remar emarkkabl able Stor Storyy of Risk Risk ” (1996) lo inevitable es errar en una cierta cantidad de nuestras decisiones, y por ello existe la imposibilidad de poder tomar siempre las decisiones adecuadas. Kevin W. W. Knight, quien tuvo a cargo el grupo de trabajo de ISO, “todas las organizaciones, organizaciones, no importa si son grandes grandes o
pequeñas, se enfrentan a factores internos y externos ex ternos que le
quitan certeza a la posibilidad de alcanzar sus objetivos”. objetivos”. Este efecto de la falta de certeza es el “riesgo” y es inherente a
todas las actividades.
Introducción…….
Este es el primer estándar en establecer un marco general sobre como desarrollar los procesos de gerencia de riesgos. El texto consta de cinco cláusulas y un anexo. La Organización Internacional para la Estandarización (ISO), en noviembre de 2009 puso a disposición la norma ISO 31000:2009, Gestión de Riesgos - Principios y directrices. Es una norma que tiene como objetivo ayudar a las organizaciones de todo tipo de tamaño a gestionar el riesgo con efectividad. Hasta ahora ISO simplemente contaba con la Guía ISO 73, una recopilación de términos sobre la gestión de riesgos que también acaba de ser revisada. A la par, a nivel internacional, existían las normas de origen australiano- neozelandés AS/NZS 4360 y canadiense CSA Q850, que durante más de 20 años han sido los estándares de referencia sobre la materia.
Introducción…….
Esta norma recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco de trabajo o estructura de soporte (framework) cuyo objetivo es integrar el proceso de gestión de riesgos en el gobierno corporativo de la organización, planificación y estrategia, gestión, procesos de información, políticas, valores, cultura. Puede ser aplicada por cualquier tipo de entidad pública, privada, organizaciones sin fines de lucro, asociación, grupo o individuo. La ISO no es específica a alguna industria o sector. Puede ser aplicada a lo largo de la vida de una organización, así como una variada gama de actividades, incluidas estrategias y de decisiones, operaciones, procesos, funciones, proyectos, servicios y activos.
Introducción…….
El Australian/New Zealand Standard acogió el nuevo ISO y publicó el AS/NZS ISO 31000-2009 Risk management - Principles and guidelines (originado de AS/NZS 4360:1995 y versión 2004) Se complementan al nuevo ISO 31000: Guía ISO 73:2009 Vocabulario de gestión de riesgos ISO 31010: 2009 Técnicas para evaluación de riesgos La gestión de riesgos debe ser un proceso continuo de apoyo a las decisiones y permitir que la organización responda a los cambios internos y externos. Para que éste ocurra la gestión de riesgos debe integrarse a los procesos normales del negocio. La ISO 31000 propone pautas genéricas para gestionar los riesgos de manera sistemática y transparente. En esta línea es generalista y no aporta una clasificación de los riesgos como la contemplan otros estándares.
Un marco de gestión de riesgos Proceso estratégico Comunicación y consulta o c i g é t a r t s e o s e c o r P
o t o n t e x i e m t i c n e o l b c a e t s d E
n ó i s c o a g c s i e f i i t r n e e d d I
e d s s o i s g i s l e á i n r A
e d n s ó i o c g a s e u i l r a v E
Monitoreo y Supervisión Sistema de Información de Gestión de Riesgos Proceso estratégico
e d o s t n o e g i s e m r a i t a r T
P r o c e s o
e s t r a t é g i c o
¿Qué es la ISO 31000?
La ISO 31000 es un documento práctico que pretende ayudar a las organizaciones en el desarrollo de su propio enfoque de gestión de riesgos. Pero esto no es un estándar para optar por una certificación. Ellas son solo sugerencias para compararse con las mejores prácticas . Esta ISO esta estructurada en los siguientes tres elementos: Principios para la gestión de riesgos Estructura de soporte o marco de gestión de riesgos Proceso de gestión de riesgos ISO 31000:2009 parte de normas precursoras y ofrece las siguientes novedades:
ISO 31000
Novedades de ISO 31000:2009
Cambia la definición de riesgos: Este nuevo estándar y según la Guía ISO/CEI 73:2009 define al riesgo como:
" el efecto de incertidumbre sobre la consecución de los objetivos “ El efecto puede ser una desviación positiva o negativa (oportunidades o amenazas) de lo que se espera. El riesgo se suele expresar en términos de la combinación de las consecuencias de un suceso y de su probabilidad. Establece que una organización debe asegurarse de cumplir en todos su niveles los principios de gestión de riesgos. Describe un marco o estructura general para la gestión de riesgos, sin que pretenda ser en si mismo un sistema de gestión certificable, sino más bien ayudar a la organización a integrar la gestión.
Novedades de ISO 31000:2009…..
Define un procesos para la gestión de los riesgos que debería formar parte de la gestión, integrarse en su cultura y prácticas y adaptarse a los distintos procesos operativos de la organización. Para ello establece cinco actividades básicas que se interrelacionan conforme al procesos de gestión de riesgos (AS/NZS 4360:2004) Incorpora un anexo informativo donde describe los atributos que deberían considerar las organizaciones para apuntar al nivel más alto de desempeño en la gestión de riesgos, en relación con la criticidad de las decisiones a tomar, e indica algunos indicadores tangibles para cada atributo.
El ISO 31000 se emplea para:
Establecer una política de gestión de riesgos. Asegurar que el riesgo es manejado correctamente. Manejan y controlan el riesgo dentro de una organización. Evalúan prácticas de gestión de riesgos y procesos. Explican como el riesgo debería ser manejado y controlado. Desarrollan procedimientos de gestión de riesgos y guías. Preparan normas relacionadas y códigos de prácticas relativas a la gestión de riesgo.
Beneficios del ISO 31000
Aumentar la probabilidad de alcanzar los objetivos y fomentar una gestión proactiva. Establecer una base confiable para la toma de decisiones y la planificación. Ser consciente de la necesidad de identificar y tratar el riesgo en toda la organización. Mejorara la identificación de oportunidades y amenazas. Cumplir con las exigencias legales, reguladoras y las normas internacionales. Mejorar la información financiera y la gobernanza. Mejorar la confianza de los interesados (stakeholders) y los controles. Asignar efectivamente y utilizar los recursos para el tratamiento de los riesgos. Mejorar la eficacia y eficiencia operativa, la salud y de seguridad, así como la protección del medio ambiente. Mejorar la prevención de pérdidas y gestión de incidentes así como minimizar las pérdidas. Mejorar el aprendizaje organizacional y la capacidad de recuperación de la organización.
ISO 31000: 2009
Principios de gestión de Riesgos a) Crear y proteger el valor: Contribuye a la consecución de objetivos así como la mejora de aspectos tales como la seguridad y salud laboral, cumplimiento legal y normativo, protección ambiental, etc. b) Estar incorporada en todos los procesos: No debe ser entendida como una actividad aislada sino como parte de las actividades y procesos principales de una organización. c) Ser parte de la toma de decisiones: La gestión del riesgo ayuda a la toma de decisiones evaluando la información sobre las distintas alternativas. d) Ser usada para tratar con la incertidumbre: La gestión de riesgo trata aquellos aspectos de la toma de decisiones que son inciertos, la naturaleza de esa incertidumbre y como puede tratarse.
Principios de Gestión de Riesgos… e) Ser estructurada, sistemática, y oportuna: Contribuye a la eficiencia y consecuentemente, a la obtención de resultados fiables. f) Estar basada en la mejor información disponible: Lis inputs del proceso de gestión de riesgos están basados en fuentes de información como la experiencia, la observación, las previsiones y la opinión de expertos. g) Ser adaptada a su entorno: Hecha a su medida, la gestión de riesgo está alineada con el contexto externo e interno de la organización y con su perfil de riesgo. h) Tratar con factores humanos y culturales: Reconoce la capacidad, percepción e intenciones de la gente, tanto externa como interna que puede facilitar o dificultar la consecución de los objetivos de la organización.
Principios de Gestión de Riesgos… i) Ser transparente, inclusiva, y relevante: La apropiada y oportuna participación de los grupos de interés (stakeholders) y, en particular, de los responsables a todos los niveles, asegura que la gestión del riesgo permanece relevante y actualizada. j) Ser dinámica, sensible al cambio, e iterativa: La organización debe velar para que la gestión de riesgos detecte y responda a los cambios de la empresa. K) Facilitar la mejora continua de la organización: Las organizaciones deberían desarrollar e implementar estrategias para mejorar continuamente, tanto en la gestión del riesgo como en cualquier otro aspecto de la organización.
Marco de Gestión de Riesgos 4.1 ESTABLECER UN MARCO DE GESTIÓN DE RIESGOS La gestión de riesgos debe ser parte del sistema de la dirección en la organización. Tener un marco de gestión de riesgos eficaz y dar apoyo al proceso de gestión de riesgos en toda la organización. 4.2 HACER UN COMPROMISO DE GESTIÓN DE RIESGOS Debe haber una definición de la política de gestión de riesgos en la organización, establecer indicadores de funcionamiento, formular objetivos, asignar responsabilidades, recursos , comunicar las ventajas y apoyar el marco de gestión de riesgos.
Marco de Gestión de Riesgos….. 4.3 DISEÑAR SU MARCO DE GESTIÓN DE RIESGOS 4.3.1 ENTENDER EL CONTEXTO DE SU ORGANIZACIÓN Evaluar y entender el contexto externo de su organización y luego usar este conocimiento para ayudar a diseñar su marco de gestión de riesgos. Evaluar y entender a los interesados (stakeholders) externos de su organización. Entender la gobernanza, las capacidades, cultura, normas y los contratos de su organización. 4.3.2 FORMULAR SU POLÍTICA DE GESTIÓN DE RIESGOS Establecer una política de gestión de riesgos para la organización. Se debe hacer un compromiso claro, definir los objetivos, explicar como será puesta en práctica la política y finalmente comunicar la gestión de riesgos.
Marco de Gestión de Riesgos….. 4.3.3 HACER A LA GENTE RESPONSABLE DE MANEJAR RIESGO Identificar quienes son los propietarios de los riesgo en la organización, asignarles a cada uno autoridad para manejar los riesgos, hacer que sean responsables de su manejo, establecer métodos de medida de funcionamiento de la gestión de riesgos y desarrollar reportes de gestión de riesgos y procesos de escala. 4.3.4 CONSTRUIR LA GESTIÓN DE RIESGOS EN SU ORGANIZACIÓN Incorporar la gestión de riesgos en todos los procesos y prácticas y desarrollar un plan de gestión en toda la organización. 4.3.5 ASIGNAR RECURSOS PARA LA GESTIÓN DE RIESGOS Asignar recursos para apoyar las actividades de gestión de riesgos en la organización, proporcionando gente, información y sistemas de dirección de conocimiento, procedimientos y métodos de gestión de riesgos apropiados.
Marco de Gestión de Riesgos….. 4.3.6 ESTABLECER MECANISMOS DE COMUNICACIÓN INTERNOS Establecer la comunicación de gestión de riesgos interna, externa, mecanismos de reporte e informes. 4.3.7 DESARROLLAR UN PLAN DE COMUNICACIÓN EXTERNO Desarrollar y poner en práctica un plan de comunicación con los interesados (stakeholders) externos de su organización. 4.4 PONER EN PRÁCTICA SU ACERCAMIENTO A LA GESTIÓN DE RIESGOS 4.4.1 PONER EN PRÁCTICA SU MARCO DE GESTIÓN DE RIESGOS Desarrollar y poner en práctica un marco de gestión de riesgos en la organización.
Marco de Gestión de Riesgos….. 4.4.2 PONER EN PRÁCTICA SU PROCESO DE GESTIÓN DE RIESGOS Desarrollar un plan que explique como tiene la intención de aplicar el proceso de gestión de riesgos de su organización. Usar su gestión de riesgos para planificar y poner en práctica el proceso de gestión de riesgos de su organización. 4.5 SUPERVISAR SU MARCO DE GESTIÓN DE RIESGOS Evaluar la eficacia en curso de su marco de gestión de riesgos y preparar informes sobre su eficacia. 4.6 MEJORAR SU MARCO DE GESTIÓN DE RIESGOS Estudiar y entender los resultados de su supervisión de gestión de riesgos y repasar las actividades.
Proceso de Gestión de Riesgos 5.1 APLICAR SU PROCESO DE GESTIÓN DE RIESGOS Aplicar y hacer como única cultura el proceso de gestión de riesgos 5.2 COMUNICARSE Y CONSULTAR CON SUS INTERESADOS (STAKEHOLDERS) Comunicar y consultar con los interesados (stakeholders) durante todas las etapas del proceso de gestión de riesgos. 5.3 ESTABLECER SU CONTEXTO ÚNICO DE GESTIÓN DE RIESGOS 5.3.1 ESTABLECER SUS PARÁMETROS DE GESTIÓN DE RIESGOS Identificar, definir el contexto interno y externo así como entender los parámetros y variables que influya en el control y como su organización maneja el riesgo.
Proceso de Gestión de Riesgos….. 5.3.2 ESTABLECER EL CONTEXTO EXTERNO DE SU ORGANIZACIÓN Identificar y entender el contexto externo de su organización, las condiciones ambientales, factores claves externos, preocupaciones de los stakeholders y considerar la influencia que estos podrían tener sobre su capacidad de manejar el riesgo y alcanzar sus objetivos. 5.3.3 ESTABLECER EL CONTEXTO INTERNO DE SU ORGANIZACIÓN Identificar y entender el contexto interno, su gobernanza, capacidades, normas, cultura, contratos, stakeholders de su organización y considerar la influencia que estos podrían tener sobre su capacidad de manejar el riesgo y alcanzar objetivos.
Proceso de Gestión de Riesgos….. 5.3.4 ESTABLECER EL CONTEXTO DE SU PROCESO DE GESTIÓN DE RIESGOS Establecer el único contexto de su proceso de gestión de riesgos. Identificar las áreas de la organización o las partes que participarán en su gestión de riesgos, tratan y se aseguran que entiende lo que ellos hacen y como ellos lo hacen. Definir los objetivos, actividades, recursos y las actividades de gestión de riesgos y proyectos que tiene la intención de realizar. Definir las responsabilidades y decisiones de gestión de riesgos y las autoridades de todos los participantes de proceso. Definir las metodologías y estudios de evaluación de riesgo que tienen la intención de usar para cada proceso de gestión de riesgos o proyecto. Definir como el funcionamiento de proceso de gestión de riesgos y su eficacia serán evaluados así como llevar los registros.
Proceso de Gestión de Riesgos….. 5.3.5 ESTABLECER LOS CRITERIOS DE RIESGO DE SU ORGANIZACIÓN Definir los criterios de riesgo de su organización. Considerar su organización y como esta funciona, las vistas de los interesados (stakeholders), la naturaleza y el tipo de causas, las consecuencias y los impactos que podrían ocurrir, la probabilidad, el nivel de riesgo que será determinado cuando define sus criterios de riesgo. 5.4 REALIZAR EL PROCESO DE EVALUACIÓN DE RIESGO DE SU ORGANIZACIÓN 5.4.1 IDENTIFICAR, ANALICE, Y EVALÚE LOS RIESGOS Realizar su proceso de evaluación de riesgo. Identificar, analizar y evaluar los riesgos de su organización.
Proceso de Gestión de Riesgos….. 5.4.2 IDENTIFICAR LOS RIESGOS DE SU ORGANIZACIÓN Escoger instrumentos de identificación de riesgo convenientes y técnicas. Seleccionar a la gente conveniente para identificar los riesgos de su organización. Usar sus instrumentos y técnicas para identificar los riesgos que podrían afectar el logro de los objetivos de su organización. Generar una lista exhaustiva de los riesgos que podrían afectar el logro de los objetivos de su organización. 5.4.3 ANALIZAR LOS RIESGOS DE SU ORGANIZACIÓN Analizar y estimar los niveles de riesgos que su organización afronta. Especificar cuanta confianza tiene usted en su análisis. Usar su análisis de riesgo para entender los riesgos de su organización y comunicar los resultados de su análisis. 5.4.4 EVALUAR LOS RIESGOS DE SU ORGANIZACIÓN Usar los resultados de su análisis de riesgo para considerar sus opciones de tratamiento de riesgo.
Proceso de Gestión de Riesgos….. 5.5 FORMULAR Y PONER EN PRÁCTICA SUS PROYECTOS DE TRATAMIENTO DE RIESGO 5.5.1 EXPLORAR LAS OPCIONES DE TRATAMIENTO DE RIESGO DE SU ORGANIZACIÓN Establecer y considerar las opciones de tratamiento de riesgo en su organización. 5.5.2 SELECCIONAR LAS OPCIONES DE TRATAMIENTO DE RIESGO DE SU ORGANIZACIÓN Seleccionar y planificar la puesta en práctica de las opciones de tratamiento de riesgo apropiadas. 5.5.3 PREPARAR PROYECTOS DE PUESTA EN PRÁCTICA DE TRATAMIENTO DE RIESGO Documentar los proyectos de tratamiento de riesgo de su organización. Divulgar y realizar los proyectos de tratamiento de riesgo con todos los participantes.
Proceso de Gestión de Riesgos….. 5.6 SUPERVISAR Y REPASAR SU PROCESO DE GESTIÓN DE RIESGOS Registrar, supervisar y repasar todos los aspectos de su proceso de gestión de riesgos. 5.7 MANTENER UN REGISTRO DE ACTIVIDADES DE GESTIÓN DE RIESGOS Crear, mantener y usar los registros para apoyar su proceso de gestión de riesgos.
Conclusiones Lo importante en la adopción de un modelo de gestión de riesgos es que: Sea fácilmente comprendida en la organización. El Directorio debe tomar las decisiones basadas en riesgos. Que la implementación del modelo sea liderada por la alta gerencia, y Que la responsabilidad de los riesgos sea encabezada por las unidades de negocio y sus áreas funcionales.