1. ¿De dónde viene la norma ISO 31000?

La Gestión de Riesgos en las empresas nace en la década de los 60. Ante la tecnificación y
modernización de ciertos procesos que hasta ese momento se habían desarrollado de forma
manual, en muchos sectores se puso de manifiesto la necesidad de realizar un mejor control de las
actividades. La tecnología supuso mayor agilidad y calidad, pero a la vez nuevos retos de control y
seguimiento.

A partir de esos años se publicó la primera literatura al respecto. Los sectores que más
contribuyeron a la consolidación del concepto fueron el asegurador, el tecnológico, el militar y el de
la ingeniería náutica y nuclear.

Sin embargo, sólo en la segunda mitad de los años 70 la Gestión de Riesgos entró de lleno a las
empresas. Esto se debió a la aparición de las primeras normas y estándares internacionales. Quizá
el más significativo fue el código de seguridad nuclear que hizo público la US Nuclear Regulatory
Comission, el cual intentaba minimizar los riesgos a los que estaba expuesto el sector nuclear
estadounidense.

La asimilación del término acabó de completarse gracias la difusión de otras normas al respecto,
como por ejemplo el COSO, código emitido por el Comité de Organizaciones Sponsor en 1991 y que
incluía prácticas para la gestión interna del riesgo. Dos años más tarde, Australia y Nueva Zelanda
publicaron la norma AS/NZ 4360 sobre el riesgo en sus empresas públicas, mientras en 2002 el
Instituto Británico de Gestión de Riesgos hizo público el estándar IRM. Por otro lado en el año 2002
con la finalidad de evitar fraudes y riesgo de bancarrota nace en Estados Unidos la Ley Sarbanes
Oxley con el fin de monitorear a las empresas que cotizan en bolsa de valores, evitando que la
valorización de las acciones de las mismas sean alteradas de manera dudosa, mientras que su valor
es menor.

2. LA NORMA ISO 31000: UNIFICACIÓN DE CRITERIOS

Sin embargo, estos estándares y normas internacionales tenían dos problemas en el terreno
práctico: el primero, que casi todos estaban dirigidos a empresas de sectores específicos, lo cual
reducía su impacto y extensión; y el segundo, que había una notoria disparidad de criterios a la hora
de desarrollarlos.

Estos dos elementos motivaron a la Organización Internacional de Normalización (ISO) a elaborar

una norma que abordara la Gestión de Riesgos de forma global, necesidad que en 2009 dio origen
a la norma ISO 31000. Sin embargo, pese a su alcance genérico, es una norma no certificable; son
las empresas las que se acogen voluntariamente a sus directrices en el área de Gestión de Riesgos.

Se trata de un estándar que puede aplicarse a cualquier tipo de organización, más allá de su
naturaleza, actividad, escenario comercial o tipo de producto, entre otros factores. A través de una
serie de directrices y principios, la norma busca que cada empresa implemente un Sistema de
Gestión del Riesgo para reducir los obstáculos que impiden la consecución de sus objetivos, siendo
compatible con cada sector.
 3. ¿En qué consiste la NORMA ISO 31000?

La norma ISO 31000 es una herramienta que establece una serie de principios para la
implementación de un Sistema de Gestión de Riesgos en las empre- sas. Como se dijo antes, puede
aplicarse a cualquier tipo de organización indepen- diente de su tamaño, razón social, mercado,
fuente de capital, espectro comercial o forma de financiación. No especifica ningún área o sector en
concreto.

La norma parte del hecho de que todas las empresas, en mayor o menor medida, llevan a cabo
prácticas para la gestión de los riesgos. La diferencia radica en la coordinación y alineamiento de
dichas prácticas.

Aunque no es certificable, el estándar busca minimizar, gestionar y controlar cualquier tipo de

riesgo, más allá de su naturaleza, causa, origen o grado de inci- dencia. Esto se logra a través de la
integración del Sistema de Gestión de Riesgos a la estrategia de cada organización, así como a sus
procesos, políticas y cultura.

De hecho, no es una norma pensada para circunstancias concretas, sino que busca una aplicación
continua y permanente en el tiempo. De esta manera, be- neficia el grueso de las acciones,
decisiones, operaciones, procesos, funciones, proyectos, servicios y activos que tengan lugar en las
empresas.

4. PRINCIPIOS DE ISO 31000:2018 PARA LA GESTIÓN DE RIESGOS

En la nueva actualización de ISO 31000 se reducen de once a ocho principios como factores clave de
éxito:

 Integración en todas las actividades. El proceso de gestión de riesgos debe ser parte
integral de los diferentes procesos que conforman el Sistema de Gestión de la organización.
 Estructuración. El proceso de gestión de riesgos debe estar adecuadamente definido y
contar con su propia estructura, además deber ser completo y detallado.
 Adaptación a la organización. El proceso de gestión de riesgos debe adaptarse al contexto
específico de la organización, es decir, tener su propio marco de referencia.
 Inclusión de todas las partes interesadas. El proceso de gestión de riesgos debe promover
la participación de todas las partes interesadas, lo que resulta en información confiable y
una mayor toma de conciencia.
 Dinamismo y respuesta a los cambios. Los riesgos aparecen, cambian o desaparecen con
los cambios en el contexto de la organización. La organización debe responder a esos
cambios de manera apropiada y oportuna.
 Base en la mejor información disponible. La gestión de riesgos se debe hacer con
información histórica actualizada, así como las expectativas en el futuro. La información
debe ser oportuna, clara y disponible para las partes interesadas.
 Consideración de factores humanos y culturales. El comportamiento humano y la cultural
deben ser considerados por el proceso de gestión de riesgos.
 Foco en la mejora continua. El proceso de gestión de riesgos debe mostrar mejora en el
tiempo en eficacia y eficiencia.
 5. ESTRUCTURA DE ISO 31000:2018 PARA LA GESTIÓN DE RIESGOS
La estructura de la nueva Norma ISO 31000:2018 Directrices para la Gestión de Riesgos es la siguiente:

1. Objeto y campo de aplicación.

2. Referencias normativa.
3. Términos y definiciones.
4. Principios.
5. Marco de trabajo.
5.1 Generalidades.
5.2 Liderazgo y compromiso.
5.3 Integración.
5.4 Diseño.
5.5 Implementación.
5.6 Evaluación.
5.7 Mejora.
6. Proceso.
6.1 Generalidades.
6.2 Comunicación y consulta.
6.3 Alcance, contexto y criterios.
6.4 Apreciación del riesgo.
6.5 Tratamiento del riesgo.
6.6 Seguimiento y revisión.
6.7 Registro y presentación de informes.
6. BENEFICIOS DE IMPLEMENTAR ISO 31000:2018

La implementación de la Norma ISO 31000:2018 para Gestión de Riesgos implica una serie de
beneficios, y entre los más relevantes se encuentran los siguientes:

Beneficios para las partes interesadas:

 Ofrece seguridad a sus partes interesadas, al tratar con una organización comprometida con
la adecuada gestión de sus amenazas y riesgos.
 Aumenta la eficacia en la respuesta ante situaciones de emergencia.
 Permite contar con planes adecuados para enfrentar posibles amenazas o riesgos.

Beneficios en el mercado:

 Imagen de credibilidad y prestigio.

 Brinda seguridad y confianza a sus partes interesadas.
 Competitividad, fortaleza y adecuada gestión de riesgos, evitando afectar a sus partes
interesadas.

Beneficios para la organización:

 Imagen de credibilidad y prestigio del organismo.

 Brinda seguridad y confianza a sus colaboradores y clientes.
 Competitividad, fortaleza y adecuada gestión de riesgos.
 Con la norma ISO 31000:2018 permite a las partes interesadas destacar en la toma de
decisiones, el logro de objetivos y la mejora del desempeño ante amenazas y riesgos que se
presenten en la organización.
 Cualquier organización está expuesta a factores externos, internos e influencias que hacen
que sea incierto si lograrán sus objetivos, sin embargo, con las buenas prácticas y los
conocimientos obtenidos en gestión de riesgos, se pueden mejorar los procesos de
implementación.
 La gestión del riesgo es dinámica y ayuda a las organizaciones a establecer estrategias,
alcanzar objetivos y tomar decisiones informadas.
 Contribuye a la mejora de los sistemas de gestión de riesgos.
 7. PROCESO DE GESTIÓN DE RIESGO:

La norma ISO 31000 tiene un enfoque de procesos. La implementación de un Sistema de Gestión de

Riesgos, por tanto, debe seguir una serie de pasos para que sea eficaz y cumpla con los objetivos
trazados al inicio. Los pasos básicos son:
 8. PLAN PARA TRATAMIENTO DEL RIESGO

Un daño a la reputación de la empresa o de la marca, un delito cibernético, incumplimientos legales

y/o regulatorios, o un acto de terrorismo son ejemplos de algunos de los riesgos que las
organizaciones privadas y públicas de todo tipo y tamaño en todo el mundo deben enfrentar con
mayor frecuencia.

La versión 2018 de ISO 31000 busca ayudar a manejar la incertidumbre que se presenta en cada
decisión de una organización. Hacer frente al riesgo es parte de la gobernanza y el liderazgo, y es
fundamental para la gestión de una organización en todos los niveles. ISO 31000: 2018 ofrece una
guía más clara, breve y concisa que ayuda a las organizaciones a utilizar principios de gestión de
riesgos para mejorar la planificación y tomar mejores decisiones.

De este modo, en el capítulo 6.5 Tratamiento del riesgo, en el ítem 6.5.3 Preparación e
implementación de los planes de tratamiento del riesgo la Norma ISO 31000:2018 establece que un
Plan para Tratamiento del Riesgo debe especificar la manera en que se implementarán las opciones
elegidas para el tratamiento de tales riesgos, y además debe incluir como mínimo la siguiente
información:

Los fundamentos de la selección de las opciones para el tratamiento de riesgos

 Las personas responsables por la implementación del Plan

 Las acciones propuestas
 Los recursos necesarios
 Las medidas del desempeño
 Los informes de seguimiento requeridos
 Los plazos previstos

Con el objeto de elaborar un Plan para Tratamiento del Riesgo que resulte adecuado a lo
especificado por la Norma ISO 31000:2018, se deberían tomar en consideración los siguientes
aspectos:

 Definición del alcance del plan de riesgos. Los riesgos a tratar se circunscriben a un
proyecto, a un proceso, o abarcan a toda la compañía?
 Recopilación de información sobre riesgos. Se debe obtener información sobre los riesgos
a tratar. Una buena iniciativa puede ser vincular a las personas clave de la empresa en las
actividades de gestión de riesgos para favorecer la comunicación interna de riesgos y hacer
que las prácticas de gestión de riesgos se multipliquen por la empresa.
 Identificación de los riesgos y sus consecuencias. Confeccionar lista de riesgos, asociando
cada riesgo con sus consecuencias de manera específica.
 Identificación de los controles de cada riesgo. Los controles son actividades,
procedimientos o mecanismos que, una vez implementados, pueden actuar sobre un riesgo,
alterando su probabilidad o su impacto.
 Análisis de probabilidad. Para cada riesgo de la lista, se debe determinar la probabilidad de
que este riesgo se materialice.
 Análisis del impacto. Para cada riesgo de la lista, se debe determinar la magnitud de las
consecuencias de que este riesgo se materialice.
 Determinación del nivel del riesgo, en base a la probabilidad y al impacto de cada riesgo.
 Definición de prioridades, en función del nivel de riesgo.
 Planificación de estrategias de mitigación (reducir la probabilidad de que un riesgo se
materialice) y contingencia (reducir el impacto de un riesgo si se materializa)
 Análisis de eficacia de las estrategias implementadas.
 Monitoreo de los riesgos. Se debería disponer de herramientas cuantitativas que permitan
monitorear, realizar seguimiento y establecer cuándo tomar acciones para mitigar riesgos.
Dichos indicadores cuantitativos son comúnmente conocidos como o KRI (key risk
indicator), y se trata de métricas creadas para poder sintetizar objetivamente aquellos
riesgos considerados como significativos y que necesitan un tratamiento diferenciado. Estas
métricas permiten llevar un registro de incidencias, monitorear su comportamiento,
informar sobre su evolución, reportarlos y establecer planes de acción cuando salen de la
tendencia esperada.