Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Todas las organizaciones, grandes o pequeñas, de capital privado o del ámbito publico,
industriales o de servicios, se enfrentan a factores internos y externos que le restan certeza a
la posibilidad de alcanzar sus objetivos. Este efecto de falta de certeza es lo que se define
como “Riesgo” y es inherente a todas las actividades.
Ante esta situación, las organizaciones deben gestionar el riesgo de manera eficaz para poder
asegurar el cumplimiento de sus objetivos estratégicos, y una manera adecuada de hacerlo es
siguiendo los lineamientos que define la Norma ISO 31000 – Gestión del Riesgos. Principios y
Directrices, la cual provee de los principios, el marco de trabajo (framework) y un proceso
destinado a gestionar cualquier tipo de riesgo en una manera transparente, sistemática y creíble
dentro de cualquier alcance o contexto.
Así, la Norma ISO 31000 es un excelente complemento para normas de sistemas de gestión,
como ISO 9001:2015 o ISO 14001:2015, ya que permite abordar los riesgos pertinentes definidos
en el capítulo 6 de ambas normas.
Este estándar ISO 31000:2009 puede ser utilizada por cualquier organización, de carácter público,
privado, sin fines de lucro, asociación, grupo o individuo, y no es específica a alguna industria o
sector.
Cuando la gestión del riesgo se implementa y se mantiene de acuerdo con esta norma ISO 31000,
le permite a la organización:
Aumentar la probabilidad de alcanzar los objetivos;
Fomentar la gestión proactiva;
Ser consciente de la necesidad de identificar y tratar los riesgos en toda la organización;
Cumplir con los requisitos legales y reglamentarios pertinentes y con las normas
internacionales;
Mejorar la presentación de informes obligatorios y voluntarios;
Mejorar el gobierno;
Mejorar la confianza y honestidad de las partes involucradas,
Establecer una base confiable para la toma de decisiones y la planificación;
Mejorar los controles;
Asignar y usar eficazmente los recursos para el tratamiento del riesgo;
Mejorar la eficacia y la eficiencia operativa;
Incrementar el desempeño de la salud y la seguridad, así como la protección ambiental;
Mejorar la prevención de pérdidas y la gestión de incidentes;
Minimizar las pérdidas;
Mejorar el aprendizaje organizacional; y
Mejorar la flexibilidad organizacional.
Esta norma está destinada a satisfacer las necesidades de un rango amplio de partes
involucradas, incluyendo:
a) aquellos responsables del desarrollo de la política de gestión del riesgo dentro de la
organización;
b) aquellos responsables de garantizar que el riesgo se gestiona eficazmente dentro de la
organización como unidad o dentro de un área, proyecto o actividad específicos;
c) aquellos que necesitan evaluar la eficacia de una organización en cuanto a la gestión del
riesgo; y
d) aquellos que desarrollan normas, guías, procedimientos y códigos de práctica que,
parcial o totalmente, establecen la manera de gestionar el riesgo dentro del contexto
específico de estos documentos.
La norma ISO 31000:2009 establece una serie de principios que deben ser satisfechos para hacer
una gestión eficaz del riesgo. Esta Norma Internacional recomienda que las organizaciones
desarrollen, implementen y mejoren continuamente un marco de trabajo o estructura de soporte
(framework) cuyo objetivo es integrar el proceso de gestión de riesgos en el gobierno corporativo
de la organización, planificación y estrategia, gestión, procesos de información, políticas, valores y
cultura.
La relación entre los Principios Básicos de la Gestión de Riesgos, el Marco de Trabajo
(Framework), así como el Proceso de Gestión del Riesgo desarrollado en la Norma ISO 31000 se
resume en la figura siguiente:
En el marco de la Gestión de Riesgos, se utilizan conceptos para los cuales es muy importante
contar con una adecuada definición. Al respecto, la norma “ISO/Guide 73:2009 Risk management
— Vocabulary” proporciona un vocabulario básico para desarrollar un entendimiento común sobre
los conceptos de gestión de riesgos y las condiciones, entre entidades y funciones, a través de
diferentes aplicaciones y tipos.
En el contexto de la terminología de gestión de riesgos, se pretende que se dará preferencia a las
definiciones que figuran en esta guía.
Esta Guía ISO/Guide 73:2009 es genérica y se compila para abarcar el campo general de
la gestión de riesgos. Los términos están dispuestos en el orden siguiente:
Las disposiciones relacionadas con el riesgo;
Los términos relacionados con la gestión de riesgos;
Los términos relacionados con el proceso de gestión de riesgos;
Las condiciones relacionadas con la comunicación y la consulta;
Los términos relacionados con el contexto;
Término relacionado con la evaluación de riesgos;
Los términos relativos a la identificación de riesgos;
Los términos relacionados con el análisis de riesgos;
Los términos relativos a la evaluación de riesgos;
Los términos relacionados con el tratamiento del riesgo;
Las disposiciones relacionadas con el seguimiento y la medición.
Todas las actividades de una organización implican riesgos que se deberían gestionar. El proceso
de gestión del riesgo ayuda a tomar decisiones teniendo en cuenta la incertidumbre y la
posibilidad de futuros sucesos o circunstancias (previstas o imprevistas) y sus efectos sobre los
objetivos acordados.
La gestión del riesgo incluye la aplicación de métodos lógicos y sistemáticos para:
Comunicar y consultar a lo largo de este proceso;
Establecer del contexto para la identificación, análisis, evaluación, tratamiento del riesgo
asociado con cualquier actividad, proceso, función o producto;Realizar el seguimiento y revisar
los riesgos;
Informar y registrar los resultados de manera apropiada.
El Proceso para Gestión del Riesgo que establece la norma ISO 31000 comprende, entre otras,
una etapa de Evaluación o Apreciación del Riesgo, que es la parte de la gestión del riesgo que
proporciona un proceso estructurado que identifica la manera en que los objetivos pueden resultar
afectados, y analiza el riesgo en términos de consecuencias y de sus probabilidades antes de
decidir si se necesita un tratamiento adicional.
La apreciación del riesgo trata de dar respuesta a las siguientes cuestiones fundamentales:
¿Qué puede suceder y porque (para la identificación del riesgo)?
¿Cuáles son las consecuencias?
¿Cuál es la probabilidad de su ocurrencia futura?
¿Existen factores que mitiguen las consecuencias del riesgo o que reduzcan la probabilidad del
riesgo?
En este punto, resulta de gran utilidad tomar en consideración la norma ISO 31010:2009 Gestión
del riesgo – Técnicas de apreciación del riesgo, que proporciona directricespara la selección y
aplicación de técnicas sistemáticas para la apreciación o evaluación del riesgo.
Esta norma presenta una serie de técnicas, y hace referencia a otras normas donde se describe
con mayor detalle el concepto y la aplicación de algunas de ellas. ISO 31010:2009no especifica el
método de análisis del riesgo que se requiere para una aplicación particular ni hace referencia a
todas las técnicas. El hecho de que una técnica no sea mencionada no significa que no sea válida.
La finalidad de la apreciación del riesgo consiste en proporcionar evidencias basadas en
información y análisis para tomar decisiones informadas sobre cómo tratar riesgos particulares y
cómo hacer la selección entre distintas opciones.
Entre los principales beneficios de realizar la apreciación del riesgo, se incluyen:
Comprender el riesgo y su impacto potencial sobre los objetivos;
Proporcionar información a las personas que toman decisiones;
Contribuir a comprender los riesgos, para ayudar en la selección de las opciones de
tratamiento;
Identificar a los factores principales que contribuyan a los riesgos, y los puntos débiles en
los sistemas y organizaciones;
Comparar los riesgos en sistemas, tecnologías o enfoques alternativos;
Comunicar los riesgos y las incertidumbres;
Ayudar a establecer prioridades;
Contribuir a la prevención de incidentes en base a investigaciones posteriores de
incidentes;
Seleccionar diferentes formas de tratamiento del riesgo;
Cumplir los requisitos reglamentarios;
Proporcionar información que ayudará a evaluar si se debería aceptar el riesgo cuando se
compara con criterios predefinidos;
Realizar la apreciación de los riesgos unidos al final de la vida útil.
La apreciación del riesgo se puede realizar con diferentes grados de profundidad y de detalle, y
utilizando uno o varios de los métodos o técnicas ya mencionados, y que varían desde simples a
complejos. La forma de la apreciación y de sus resultados debería ser consecuente con los
criterios de riesgo desarrollados como parte del establecimiento del contexto.
En términos generales, las técnicas adecuadas deberían tener las siguientes características:
Deberían ser justificables y apropiadas a la situación u organización que se está
considerando;
Deberían proporcionar resultados de una forma que mejoren la comprensión de la
naturaleza del riesgo y de cómo se puede tratar;
Deberían poderse utilizar de una manera que sea trazable, reproducible y verificable.
Se deberían dar las razones para la elección de técnicas, en cuanto a la importancia y a la
idoneidad. Cuando se integran los resultados procedentes de estudios diferentes, las
técnicas utilizadas y los resultados deberían ser comparables.