Dado los acontecimientos económicos recientes, todo indica que contar con una capacidad adecuada para gestionar los riesgos en las organizaciones hoy es un factor clave y diferenciador, ya sea en empresas y servicios públicos, instituciones privadas o bien en organizaciones sin fines de lucro.
La ISO 31.000:2009, emitida por la Organización Internacional de Normalización (ISO), proporciona instrucciones sobre cómo establecer y mantener un marco de gestión de riesgos de carácter oficial que puede ser adoptada por cualquier organización. Aunque esta norma proporciona directrices genéricas, no es su intención promover la uniformidad de la gestión de riesgo a través de las compañías, ya que, se entiende que el diseño y ejecución de un modelo de gestión de riesgos y los marcos de referencia deben tener en cuenta las diversas necesidades de una organización específica, sus objetivos estratégicos particulares, el contexto, estructura, volumen de operaciones, procesos, funciones, proyectos, productos, servicios o activos específicos y las prácticas empleadas.
La ISO 31000:2009 ha incorporado conceptos adicionales al estándar Australiano Neozelandés AS/NZS 4360:2004 y entre sus principios más importantes se encuentran los siguientes:
- Define el riesgo como un efecto de incertidumbre en el logro de los objetivos
- Los principios que recomienda a seguir por las organizaciones son más explícitos que su antecesor AS/NZS 4360:2004.
- Aconseja integrar en forma explícita el mejoramiento continuo de la estructura de administración de riesgo.
- Incorpora la necesidad de contar con la integración de elementos principalmente como: gobierno, estrategia y planificación, políticas, valores y la cultura de la organización.
A diferencia de otras ISO, la ISO 31000:2009, no exige certificación, pero pretende que la norma sea utilizada para armonizar los procesos de gestión de riesgos con las normas existentes y futuras. Además, proporciona un enfoque común en favor de otras normativas que tratan sobre riesgos específicos y / o sectores, y no las sustituyen.
Finalmente, en cuanto a los beneficios, éstos se relacionan principalmente a:
- Incrementar la probabilidad de alcanzar los objetivos de la organización;
- Lograr prácticas de administración de riesgo compatibles entre organizaciones y naciones;
- Cumplir con requerimientos legales, regulatorios y normas internacionales;
- Mejorar el gobierno;
- Mejorar la confianza y credibilidad de los stakeholders;
- Establecer una base confiable para la toma de decisiones y la planificación;
- Realizar una asignación y uso de recursos efectiva para el Risk Treatment (implementación de los planes de acción para la mitigación de los riesgos);
- Reforzar el desempeño de un ambiente sano, seguro y protegido en la organización;
- Mejorar la prevención de pérdidas y disminuir la probabilidad de ocurrencia de incidentes a nivel de la administración.
Lo importante en la adopción de un modelo de gestión de riesgos es que este sea fácilmente comprensible en la organización, que sea el directorio quien tome decisiones basadas en riesgos, que la implementación del modelo sea liderada por la alta gerencia y finalmente que la responsabilidad de los riesgos sea encabezada por unidades de negocio y sus áreas funcionales, para lograr un manejo inteligente en materia de riesgos.
La ISO 31.000:2009, emitida por la Organización Internacional de Normalización (ISO), proporciona instrucciones sobre cómo establecer y mantener un marco de gestión de riesgos de carácter oficial que puede ser adoptada por cualquier organización. Aunque esta norma proporciona directrices genéricas, no es su intención promover la uniformidad de la gestión de riesgo a través de las compañías, ya que, se entiende que el diseño y ejecución de un modelo de gestión de riesgos y los marcos de referencia deben tener en cuenta las diversas necesidades de una organización específica, sus objetivos estratégicos particulares, el contexto, estructura, volumen de operaciones, procesos, funciones, proyectos, productos, servicios o activos específicos y las prácticas empleadas.
La ISO 31000:2009 ha incorporado conceptos adicionales al estándar Australiano Neozelandés AS/NZS 4360:2004 y entre sus principios más importantes se encuentran los siguientes:
- Define el riesgo como un efecto de incertidumbre en el logro de los objetivos
- Los principios que recomienda a seguir por las organizaciones son más explícitos que su antecesor AS/NZS 4360:2004.
- Aconseja integrar en forma explícita el mejoramiento continuo de la estructura de administración de riesgo.
- Incorpora la necesidad de contar con la integración de elementos principalmente como: gobierno, estrategia y planificación, políticas, valores y la cultura de la organización.
A diferencia de otras ISO, la ISO 31000:2009, no exige certificación, pero pretende que la norma sea utilizada para armonizar los procesos de gestión de riesgos con las normas existentes y futuras. Además, proporciona un enfoque común en favor de otras normativas que tratan sobre riesgos específicos y / o sectores, y no las sustituyen.
Finalmente, en cuanto a los beneficios, éstos se relacionan principalmente a:
- Incrementar la probabilidad de alcanzar los objetivos de la organización;
- Lograr prácticas de administración de riesgo compatibles entre organizaciones y naciones;
- Cumplir con requerimientos legales, regulatorios y normas internacionales;
- Mejorar el gobierno;
- Mejorar la confianza y credibilidad de los stakeholders;
- Establecer una base confiable para la toma de decisiones y la planificación;
- Realizar una asignación y uso de recursos efectiva para el Risk Treatment (implementación de los planes de acción para la mitigación de los riesgos);
- Reforzar el desempeño de un ambiente sano, seguro y protegido en la organización;
- Mejorar la prevención de pérdidas y disminuir la probabilidad de ocurrencia de incidentes a nivel de la administración.
Lo importante en la adopción de un modelo de gestión de riesgos es que este sea fácilmente comprensible en la organización, que sea el directorio quien tome decisiones basadas en riesgos, que la implementación del modelo sea liderada por la alta gerencia y finalmente que la responsabilidad de los riesgos sea encabezada por unidades de negocio y sus áreas funcionales, para lograr un manejo inteligente en materia de riesgos.
Fuente:Deloitte