Este documento introduce la norma ISO 31000 sobre gestión de riesgos. Explica que la norma propone gestionar los riesgos como parte esencial de cualquier sistema de gestión empresarial. También describe brevemente la estructura básica de la norma ISO 31000, la cual se compone de tres etapas: comprender los principios de gestión de riesgos, elaborar un marco de trabajo, y precisar los procesos claves. Finalmente, enfatiza la importancia de desarrollar una cultura de gestión de riesgos a nivel social, más
Bienaventuranzas, LOS MANSOS, LOS PACIFICADORESII.pptx
Introducción a la norma ISO 31000 de gestión de riesgos
1. INTRODUCCIÓN A LA NORMA
ISO -31000, GESTIÓN DE RIESGOS
Autor: Nelson Berríos Villagra.
Constructor Civil.
Experto en Prevención de Riesgos.
Perito Judicial de la Corte de Apelaciones.
Master en Administración de Empresas.
E-mail: nberriosv@gmail.com
2. INTRODUCCIÓN
¿Qué sentimos comúnmente en nuestras entrañas cuando escuchamos la palabra Riesgo?
Lo más probable es que la mayoría sintamos inquietud, inseguridad e incluso muchas veces
temor, ya que creemos que detrás de esto, puede esconderse algún peligro o algún evento
negativo que nos perjudique. Algunos pocos, contrariamente, sentirán adrenalina circulando
por su sangre.
Pero etimológicamente, la palabra “Riesgo” viene del latín “risicare”, que significa “atreverse”
a elegir un camino determinado, es decir, está centrado en la acción, y el resultado de ésta
puede ser cualquiera, tanto “negativo” como “positivo”.
Nos hemos familiarizado con el concepto de riesgo asociado a las pérdidas, pero desde el
punto de vista de la actual Gestión de Riesgos en las organizaciones (especialmente ISO-
31000), el concepto de riesgo es más amplio y se define simplemente como: “el efecto de la
incertidumbre en los objetivos”.
Es decir, esta incertidumbre es probable y además sus efectos pueden resultar en pérdidas o
ganancias.
3. Esta norma ISO-31000, pone la Gestión del Riesgo como una labor esencial en el
establecimiento de cualquier sistema de gestión de empresa, ya estemos hablando de la Gestión
de Calidad, Gestión Medioambiental, Gestión de Salud Ocupacional, Gestión de Responsabilidad
Social Empresarial, Gestión Energética, Gestión Informática, etc.
Si bien toda organización, de una u otra manera gestiona sus propios riesgos, la mayoría de ellas
no lo hace a través de una metodología formal específica. La Norma ISO-31000, entrega una guía
general de Gestión de Riesgos para todo tipo de empresas. Esto representa un gran paso
estratégico para alinear los Sistemas de Gestión al contexto global de incertidumbre que vivimos
cada día en todos los aspectos del quehacer humano.
Basta observar lo que está sucediendo a nivel mundial y local, en lo social, económico, laboral,
tecnológico, político, medioambiental, legal, cultural, etc., para darse cuenta que el riesgo está
presente en cada momento, va en aumento creciente y es parte del día a día de todas las
organizaciones sociales y evidentemente de todos los actos humanos.
4. El nivel de riesgos negativos actual que amenaza nuestras vidas, salud ( física y psicológica) y
nuestro entorno medioambiental es tan alto, diverso y complejo que es urgente tomar
conciencia de unidad, de responsabilidad global, de los riesgos y sus impactos, de la toma de
decisiones conjuntas y oportunas, de la transparencia respecto a los verdaderos riesgos, de la
correcta educación holística y de la firme autorregulación de nuestras acciones ( individuales,
empresariales y colectivas), si es que éstas ponen en riesgo la integridad, salud y seguridad
global.
En el presente artículo, revisaremos básicamente la propuesta que nos hace la Norma ISO
31000, que está dirigida a las organizaciones. Se trata de que éstas logren incluir la Gestión de
Riesgos (riesgos negativos y positivos) en sus sistemas de gestión y puedan así trabajar
continuamente sobre el cambiante grado de incertidumbre que se presenta en los objetivos
planteados por sus directivos. Pero evidentemente, el tema de los RIESGOS, con mayúscula -
más allá del punto de vista de las empresas- es un tema amplio y profundo, multidisciplinario y
global, holístico en su esencia, urgente en su contingencia, que requiere un desarrollo en varias
aristas y niveles, que nos involucra a todos como sociedad, que requiere de la participación
organizada y activa, y que por lo tanto escapa a este limitado y puntual artículo.
5. 1. LA CULTURA DE LA GESTIÓN DEL RIESGO.
En una estadía en Japón, visitando empresas grandes, medianas y pequeñas, pude observar cómo el Estado
Japonés -a través de muchos gobiernos de distintos colores políticos- posee una Cultura de la Gestión de
Riesgos.
Tuve la oportunidad de reunirme con algunos Empresarios, Sindicatos y Trabajadores de distintos tipos de
empresas (además de todas mis vivencias personales del diario vivir) y me pude percatar en todas estas
instancias, que la Gestión de Riesgos es parte integrante de su forma de vivir, no es sólo una herramienta de
gestión clave en la administración de empresas, es parte de su Cultura.
Los japoneses, lejos de ser perfectos, tienen obviamente características de idiosincrasia muy distintas a la
mentalidad latina. Pese a toda su agitada y dramática historia, tienen en general una cultura rica en algunos
valores profundos que han sido cultivados, mantenidos, protegidos y valorados a través de las generaciones,
además de una fuerte visión de futuro, capacidad analítica, trabajo en equipo, estudio, austeridad y disciplina.
6. Obviamente que tienen otras características y condicionamientos mentales y
emocionales que les están generando serias dificultades a la sociedad japonesa
actual y por lo tanto, nuevos e insospechados riesgos, que los pueden llevar a
situaciones extremas y de muy complejo control, pero creo que debemos
aprender de lo bueno y desechar lo que para nosotros, no lo es.
Pude apreciar personalmente en las empresas visitadas, la importancia que
tiene para ellos la Gestión de Riesgos, antes de proceder a cualquier tipo de
proceso o proyecto. Existe previamente una planificación y análisis detallado
de los riesgos específicos y globales que conlleva emprenderlo y de cómo
proceder a su debido control. Ellos, en general, se detienen, analizan, llegan a
acuerdos y actúan, tomando las medidas efectivas de resguardo;
posteriormente, hacen seguimiento y mejoran.
7. Me asombró el nivel de conciencia que tienen los trabajadores
y la población en general, del cumplimiento de las normas, de
las consideraciones y análisis previos antes de hacer algo y de
las medidas de control a adoptar para minimizar los posibles
daños. En general, da la impresión de que cuidan el equilibrio
en las cosas, actúan de manera informada y disciplinada,
ocasionando el menor daño posible a los otros y al entorno.
8. Más allá de la vida al interior de las empresas, en las calles de
Tokio, Kioto y Osaka, entre otras ciudades, pude observar
trabajos en la vía pública, tanto de día como de noche. Estos se
realizaban con un nivel de tecnología, seguridad, prolijidad,
exactitud, orden, limpieza y precisión asombrosos. Se
apreciaba a simple vista que habían considerado previamente
un gran número de medidas para afrontar los imprevistos
posibles que pudieran afectar a los objetivos de la tarea a
realizar.
9. En pleno movimiento vertiginoso de la ciudad, se ejecutaban
obras de corte y reemplazo de pavimento de calzadas, cambio
de luminarias, instalación de letreros luminosos en la vía
pública, trabajo de excavaciones y demoliciones, labores de
pintura, limpieza y mantenimiento de calles y edificios,
señalización en las vías, etc., etc.. Todas planificadas
detalladamente, verificando los posibles imprevistos y sus
medidas de control. Además bien hechas, sin accidentes ni
daños al entorno, perturbando mínimamente el ritmo de la
ciudad, bajo un procedimiento previamente establecido y en el
tiempo correspondiente.
10. La Gestión de Riesgos en Japón -no como Norma Internacional,
sino como conceptos y principios del diario vivir- es parte de la
cultura global de la población, es enseñada desde que se nace
(en el hogar, en las guarderías, los colegios, en los grupos
sociales, en las universidades, en las juntas de vecinos, en los
trabajos, en las calles….en todas las actividades de la vida
diaria). Y no es un tema de ahora, es un tema de siempre. Para
ellos, la Gestión de Riesgos no es una metodología teórica que
hay que implementar para lograr finalmente un Certificado o
un reconocimiento público, no es sólo una herramienta de
gestión de empresas, sino que es parte de su manera de ser.
11. Recuerdo que un día domingo salí a recorrer la ciudad de Tokio y decidí
quedarme en una plaza para poder terminar de leer un informe de una
empresa, la cual debía visitar al día siguiente a las 9:00 hrs. en punto.
Me senté en un asiento de la plaza y mientras avanzaba en la lectura del
informe, de pronto, al sector central de la plaza, llegó un camión de tamaño
mediano y de color rojo, con acoplado azul. Me llamó la atención, dejé mis
apuntes, me paré y esperé a saber qué iba a suceder.
El camión se detuvo en medio de la plaza, encendió las luces de
estacionamiento y bajaron dos personas con traje de trabajo, el chofer
permaneció en su puesto, acuñaron las ruedas y abrieron el camión por un
costado (como una cortina metálica). La gente que estaba en ese sector de
la plaza se acercó al vehículo.
12. Al interior del camión, una recreación de un living-comedor de
una casa japonesa y una familia haciendo su vida normal. Me
pareció muy curioso. De repente, dentro del camión, se simula
un terremoto con ruido y movimientos y esta familia responde
tomando todas las medidas necesarias para enfrentar el
siniestro en esta casa- camión. Luego se simula un incendio y
nuevamente los padres y los hijos actúan enseñando a la
Comunidad cómo se debe abordar un incendio en el hogar.
Terminada esta demostración de cómo actuar frente a estas
emergencias, las dos personas se bajan, cierran la cortina
metálica del costado del camión, sacan las cuñas y se van.
13. Me quedé sin palabras, internalizando la experiencia. Pensé en
mi país y entendí cuál lejano, en general, estamos de esta
cultura preventiva, no sólo a nivel tecnológico, sino de
educación cívica, conciencia social, gestión de los riesgos y de
otras tantas materias esenciales para la paz social, la vida en
comunidad y el verdadero desarrollo.
Esta es una de las múltiples experiencias que viví en este
hermoso país, donde esta visión se vive en la calle, con los
ciudadanos de pie y obviamente en las empresas japonesas.
No sólo en las grandes empresas visitadas como Toyota, Canon,
Nec, Seiko, Chiba Isumi, etc., sino que también en la mediana y
pequeña empresa, pues esta Cultura está en la gente y de ahí
se proyecta a todas las actividades.
14. Si bien la Gestión de Riesgos es una poderosa y útil herramienta de gestión, que
será de consideración obligatoria para cualquier empresa que desee certificar
un sistema de gestión según Normas ISO, creo que debemos ir más allá de esta
herramienta puntual. Pienso que deberíamos desarrollar como país una Cultura
de la Gestión del Riesgo, que conduzca nuestras acciones cotidianas, que sea
parte esencial de nuestra manera de ser.
Chile es como un laboratorio de las posibles catástrofes naturales (terremotos,
tsunamis, erupciones volcánicas, aluviones, derrumbes, inundaciones, etc.) y sin
embargo pese a haber sufrido tanto, todavía no hemos podido construir una
Cultura de la Gestión del Riesgo. Al parecer, es una tarea difícil para nuestra
mentalidad y que sin duda llevará muchas generaciones, pero creo que es el
camino urgente, necesario y correcto, si realmente queremos lograr algún día
un desarrollo verdadero, sólido, justo y sostenible.
15. 2. LA ESTRUCTURA BÁSICA DE LA NORMA ISO 31000
La Norma ISO 31000 nació al mundo en el 2009, después de la crisis mundial de
2008. Coincidente nacimiento, ya que una de las herramientas faltantes por ese
entonces, en muchas organizaciones, era la Gestión del Riesgo.
16. La Norma ISO 31000 no hace otra cosa que invitarnos a una reflexión más
sistémica para gestionar las organizaciones, en base a este escenario de
riesgos. La visión actual en general, es fragmentaria, parcial, focalizada, de
especialidades y nos hemos olvidado o no querido ver irresponsablemente,
que la realidad es sistémica, en la cual todos los aspectos están integrados e
íntimamente relacionados. De hecho, las decisiones gerenciales -por
ejemplo- finalmente impactan en todos los aspectos de la organización (
dentro y fuera de ella), en distintos tiempos e intensidades, generando a su
vez nuevos riesgos.
17. Muchas veces somos expertos en lo específico y ciegos en lo sistémico. Nos cuesta
ver o pasamos por alto el escenario de riesgos en el cual nos movemos y los
efectos colaterales que provocan nuestros actos.
Esta Norma se aplica a todo tipo de organizaciones, ya sean públicas o privadas, con
fines de lucro o sin ellos, grandes, medianas o pequeñas. Precisa la forma de cómo
gestionar el riesgo y así tener información de las posibles amenazas y
oportunidades, para que los Directivos de las empresas, teniendo esta información,
tomen mejores decisiones. No entrega una metodología detallada de cómo
hacerlo, más bien señala qué se debe considerar básicamente para gestionar el
riesgo (Principios y directrices genéricas sobre la Gestión del Riesgo).
18. El escenario actual es tan riesgoso, que si
no se hace un estudio previo del contexto
en que se mueve la organización y se
identifican, analizan, evalúan y controlan
los riesgos existentes, difícilmente se
logrará cumplir los objetivos.
La Norma ISO 31000 se estructura en base
a tres etapas consecutivas:
1. Comprender los Principios de la Gestión
de Riesgos.
2. Elaborar un Marco de Trabajo y
3. Precisar los Procesos Claves para
lograrlo.
PRINCIPIOS
MARCO DE
TRABAJO
PROCESOS
CLAVES
19. Estas tres etapas de la Gestión de Riesgos están íntimamente relacionadas y tienen
un orden lógico de actuación.
La relación esquemática entre estas tres Etapas de la Gestión del Riesgo es la
siguiente: Primero los Directivos y la organización deben entender cabalmente los
Principios de la Gestión de Riesgos (Cláusula N°3) y estar convencidos de ellos (son
11 en total), para luego pasar a la segunda etapa, en la cual se crea el Marco de
Trabajo (Cláusula N°4), a través del Compromiso de la Dirección. Posteriormente,
se pone en marcha este Marco de Trabajo utilizando los cinco Procesos Claves
para la Gestión de Riesgos (Cláusula N°5).
Vamos a precisar estas tres etapas por separado, sabiendo que están íntimamente
relacionadas.
20. Primera Etapa: Principios de la Gestión de Riesgos (cláusula N°3).
La Norma pretende dejar muy en claro que si no hay entendimiento y valoración de
estos Principios, en toda la organización, desde Directivos a trabajadores, es mejor
no emprender la Gestión de Riesgos, pues estará destinada a morir por inanición.
21. Los 11 Principios son:
I. Crea valor
II. Está integrada en los procesos de la organización
III. Forma parte de la toma de decisiones
IV. Trata explícitamente la incertidumbre
V. Es sistemática, estructurada y adecuada
VI. Está basada en la mayor información disponible
VII. Está hecha a medida
VIII. Tiene en cuenta factores humanos y culturales
IX. Es transparente e inclusiva
X. Es dinámica, iterativa y sensible al cambio
XI. Facilita la mejora continua de la organización
22. Esta lista de Principios es clave para fundamentar el paso siguiente y los Directivos deben
detenerse en ello, no se debe tomar a la ligera y decir “-bueno, ya los leí, ahora vamos a la
acción-”. Estos Principios son el alimento del Compromiso de la Dirección y si ésta no lo
considera así y no se alimenta de ellos, no podrá verdaderamente fortalecer su
Compromiso con la Gestión de Riesgos (subcláusula 4.2). Todos sabemos en qué terminan
las iniciativas que no son lideradas por la Dirección.
El primer y más clave principio es: “Crea valor” para la compañía, ya que ayuda
directamente a la toma de decisiones desde el ámbito estratégico hasta los niveles más
operativos. Cuando se implementa la Gestión de Riesgos en una empresa, se comienza
usualmente detectando los posibles factores y causas que puedan impactar a la misión de
la empresa, pero luego se dirige la mirada hacia la operatividad del día a día de la
organización, de manera de precisar los riesgos que puedan generar incertidumbre en el
cumplimiento de los objetivos.
De ahí el poder que tiene esta herramienta de gestión en la creación de valor.
23. Segunda Etapa: Marco de Trabajo o Framework (cláusula N°4).
Esta Etapa comienza con el Compromiso de la Dirección (4.2), el cual crea un Ciclo
de Mejoramiento Continuo para dar movimiento al Marco de Trabajo, que es
simplemente un marco de referencia general para la gestión del riesgo al interior
de la organización. Este Compromiso de la Dirección genera el Diseño del Marco de
Trabajo (subcláusula 4.3), acto seguido viene su Implementación (subcláusula 4.4),
posteriormente se requiere efectuar el Seguimiento y Revisión (subcláusula 4.5) y
finalmente se termina este primer ciclo con el Mejoramiento Continuo (
subcláusula 4.6). Como se puede observar, estamos frente al primer Ciclo de
Mejoramiento ( Planificar-implementar-Verificar-Actual), que es iterativo
ascendente, de manera de que en cada repetición del ciclo se aprenda de lo vivido
y se mejore su gestión.
24. La Norma ISO 31000 en esta etapa, señala los pasos necesarios para armar la
estructura que tendrá la Gestión de Riesgos en la organización. La Dirección lidera
la construcción de esta estructura de manera de convertirla en una herramienta
útil e indispensable para la toma de decisiones. Además, se debe asegurar que
efectivamente llegue a todos los niveles de la organización.
El Marco de Trabajo es como la estructura ósea y muscular del cuerpo humano,
pues tiene la misión de darle sustento, movilidad y alcance a la etapa siguiente. Es
necesario mantenerla saludable a través de la alimentación ( Principios) y del
ejercicio ( Práctica del Mejoramiento Continuo), sólo así podrá ser un correcto
soporte para la Cláusula N°5 ( Procesos de la Gestión de Riesgos).
25. En la Cláusula Marco de Trabajo se deben realizar una serie de actividades
claves, tales como:
Redactar una Política de Gestión de Riesgos, los objetivos y sus respectivos
Indicadores. Para contribuir al logro de los objetivos planteados, se deben
definir además las responsabilidades de las personas involucradas y los recursos
necesarios para cumplir las actividades requeridas.
En esta segunda etapa deberá definirse la estrategia de implementación y
asegurarse que la toma de decisiones esté realmente basada en la Gestión de
Riesgos.
Finalmente, se debe realizar el respectivo Seguimiento, revisando la aplicación y
resultados de la estrategia de implementación, los indicadores y el grado de
cumplimiento de los objetivos de la Gestión de Riesgos.
Una cosa importante en esta etapa de Verificación es asegurarse que se está
cumpliendo la Política de Gestión de Riesgos, ya que es el marco general en el
cual se moverá la compañía en este aspecto.
26. Tercera Etapa:
Procesos Claves de la Gestión de
Riesgos (cláusula N°5)
Acá se detallan 5 Procesos Claves para
echar a andar la Gestión de Riesgos al
interior de la organización. Son 5 Procesos
que podrían analogarse a los cinco órganos
necesarios para que circule la vida en la
estructura ya formada anteriormente. A
saber:
Comunicación y Consulta ( sub cláusula 5.2)
Establecer el Contexto ( sub cláusula 5.3)
Evaluación de Riesgos ( sub cláusula 5.4)
Tratar los Riesgos (sub cláusula 5.5)
Monitorización y Revisión (sub cláusula 5.6)
Comunicación y Consulta
Establecer el Contexto
Evaluación de Riesgos
Tratar los Riesgos
Monitorización y Revisión
27. Además agrega la función de gestionar los Registros de los Procesos de la Gestión
de Riesgos (sub cláusula 5.7)
Acá la Norma 31000 despliega toda su sustancia, al centrarse en estos 5 Procesos
Claves, que finalmente materializarán la Gestión de Riesgos al interior de la
organización.
Estos 5 Procesos también tienen un orden lógico y funcional.
El primer proceso clave es la “Comunicación y Consulta”, que alimenta a los tres
procesos que finalmente representan el corazón de la Gestión de Riesgos (
Establecer el Contexto, Evaluación de Riesgos y Tratar los Riesgos). Este proceso de
Comunicación y Consulta permite que la organización esté en continuo contacto
con las partes interesadas, ya que son principalmente ellas las que proporcionarán
la información necesaria para que la organización gestione sus riesgos vigentes,
pues indefectiblemente los riesgos van modificándose a través del tiempo. Esta
información debe ser oportuna y correctamente transmitida a la compañía, la cual
deberá utilizarla para adecuar y actualizar la información sobre los riesgos.
28. Con la información obtenida de las Partes Interesadas (stokeholders), se
establece el Contexto de la organización y se mejora continuamente la
gestión del cambio. Una vez hecho el análisis general del terreno que está
pisando la organización o el proyecto en particular (interno y externo,
positivos y negativos), se va al tercer proceso que es la Evaluación de Riesgos.
29. Esta Evaluación de Riesgos está compuesta por tres sub etapas: Identificación de los
Riesgos, Análisis de los Riesgos y finalmente Evaluación del Riesgo. Se trata de
identificar los Riesgos Negativos (amenazas) y los Riesgos Positivos (oportunidades).
Este proceso es crucial, ya que no es nada fácil identificar los riesgos para la
organización o el proyecto y luego priorizarlos (recordar que los recursos siempre
son limitados). Algunas veces se confunde “hechos”, por “Riesgos”. Los prejuicios
motivacionales hacen perder la objetividad para identificar los riesgos o no se
centra la discusión en los riesgos específicos que afectan el cumplimiento de los
objetivos. Es clave identificar correctamente los riesgos, ya que de lo contrario,
todos los pasos siguientes perderán valor. En esta etapa de Evaluación de Riesgos se
puede recurrir a la Norma ISO-31010, de manera de determinar las herramientas
que se puede utilizar en la identificación y análisis de los riesgos.
30. Teniendo los riesgos evaluados, el paso lógico es Tratarlos, para luego Monitorearlos
y finalmente Revisarlos. El Tratamiento de los riesgos debe ser un proceso cíclico.
Si los riesgos resultan de la evaluación como riesgos no tolerables, hay que volver a
tratarlos.
Recordar que al tratar los riesgos pueden aparecer nuevos riesgos.
El proceso de Monitorización y Revisión (subcláusula 5.6), implica que la
organización se asegure que los controles son eficaces y eficientes, tanto en el
diseño como en el funcionamiento.
Recordar que se requiere mayor y mejor información para mejorar la evaluación de
los riesgos. Esta sub cláusula promueve el aprendizaje de lo vivido y permite
detectar los cambios en el contexto interno como externo, además de los posibles
riesgos emergentes.
31. Es importantísimo no olvidar que estamos ante una Norma de Gestión que requiere
registrar todo lo realizado y sus cambios. De ahí nace la sub cláusula 5.7 (Registro de
los Procesos de la Gestión de Riesgos). Se debe tener presente en este punto que
para el Registro, existen necesidades legales, reglamentarias y operativas.
Existe un proceso cíclico entre el proceso de Comunicación y Consulta (sub cláusula
5.2) y el proceso Monitorización y Revisión (sub cláusula 5.6).
32. CONCLUSIONES
1. La herramienta de Gestión de Riesgos puede ayudar a la Dirección de las organizaciones a
tomar mejores decisiones gerenciales, debido a que alumbra el terreno en el que se está
pisando. Si no está liderada por la Dirección, es mejor no implementarla.
2. La Gestión de Riesgos debe integrarse a todos los Sistemas de Gestión de la organización y
colaborar con otras herramientas de gestión de manera de llegar a todos los niveles de la
compañía. Finalmente crear una cultura de Gestión de Riesgos.
3. Los riesgos actualmente cambian con gran rapidez y por lo tanto el sistema de Gestión de
Riesgos, en lo posible, debe diseñarse de manera que esté recogiendo información de
manera inmediata, directa, activa y fidedigna del entorno interno y externo. Se debe estar
atento a procesar rápidamente la información y sus posibles cambios. La comunicación y
participación permanentes de la partes interesadas, es cada vez más esencial en esta visión
sistémica de las organizaciones.
33. Bibliografía:
Norma ISO-31000 - 2009 Gestión de Riesgo, Principios y Guías
Norma ISO 31010 -2009 Gestión de Riesgos, Técnicas de Apreciación del Riesgo.
Norma ISO 9001 -2015 Sistemas de Gestión de Calidad, Requisitos