Angel Escorial Bonet Director General de Riskia, S.A.

ISO 31000:2009 - La gestin de riesgos como componente integral de la gestin empresarial Sus antecedentes estn en el modelo FERMA 2003 y en normas como la australiana/neo zelandesa AS/NZS 4360 En noviembre del 2009 la Organizacin Internacional para la Estandarizacin (International Organization for Standardization ISO -) publicaba la ISO 31000:2009 (Gestin de Riesgos: Principios y Directrices), con el objetivo de ayudar a las organizaciones, independientemente del tipo y tamao que stas posean, a gestionar sus riesgos de manera eficaz, eficiente y coherente. Esta norma se convierte en el primer estndar en establecer un marco general sobre el que desarrollar los procesos de gerencia de riesgos y consta de cinco clusulas y un anexo. El nuevo estndar ISO proporciona los principios y directrices necesarios para la gestin de todo tipo de riesgos de una forma sistemtica, transparente y creble en cualquier mbito y contexto. Al mismo tiempo que la nueva ISO 31000, ha salido a luz la actualizacin de la Gua 73:2009, Risk management vocabulary, que complementa la ISO 31000 al proporcionar una coleccin de trminos y definiciones relacionados con la gestin de riesgos. El conjunto de normas ISO 31000, se completa con la ISO 31010:2009. Esta es una norma de apoyo que ofrece orientacin sobre la seleccin y aplicacin de tcnicas sistemticas para la evaluacin de riesgos. Esta norma no establece criterios especficos para determinar la necesidad de anlisis de riesgos, ni tampoco especifica el tipo de mtodo de anlisis de riesgos que se requiere para una aplicacin particular. El antecedente de la ISO 31000 hay que buscarlo en los estndares de gerencia de riesgos elaborados por la Federation of European Risk Management Associations (FERMA) en el ao 2003, que ya recogan la terminologa establecida por aquel entonces en la Gua ISO/CEI 73:2002. Hasta la aprobacin de la ISO 31000 slo se dispona de modelos ad-hoc de uso especfico para ciertas actividades: COSO, Basilea, Solvencia, UNE 150008, as como algn otro modelo de carcter integral de Risk Management entre ellos, el mencionado modelo FERMA o la norma australiana-neo zelandesa AS/NZS 4360:2004. ERM Enterprise Risk Management Tradicionalmente, las organizaciones han tratado los riesgos mediante estrategias de reaccin y soluciones puntuales. No obstante, la experiencia ha demostrado que los elementos que conforman los riesgos y los factores que determinan el impacto de sus consecuencias sobre un sistema, son los mismos que intervienen para todos los riesgos en una organizacin. Por ello, la tendencia moderna es utilizar un enfoque integral de manejo de los mismos conocido como Enterprise Risk Management (ERM), con el fin de evaluar, administrar y comunicar estos riesgos de una manera integral, basados en los objetivos estratgicos de la organizacin. El estndar recomienda que las organizaciones desarrollen, implementen y mejoren de forma continua el marco de gestin del riesgo como un componente integral del sistema de gestin.

La ISO 31000 es un documento prctico que busca asistir a las organizaciones en el desarrollo de su propia estrategia de gestin de riesgo, pero en ningn caso se trata de un estndar certificable. La ISO 31000 sirve para ayudar a las organizaciones a incrementar las oportunidades de alcanzar sus objetivos; fomentar la gestin proactiva; mejorar en la identificacin de oportunidades y amenazas; cumplir con los requisitos legales y regulatorios y las normas internacionales; mejorar los informes financieros; incrementar la confianza de los accionistas; establecer una base fiable para la toma de decisiones y mejora de los controles; distribuir y utilizar con eficacia los recursos para el tratamiento de los riesgos; mejorar la eficiencia y eficacia operacional; mejorar el rendimiento en lo que a salud, seguridad y proteccin ambiental se refiere; mejorar las previsiones de prdidas y la gestin de incidentes as como minimizar prdidas y mejorar el aprendizaje organizacional. Las prcticas actuales de gestin de muchas organizaciones incluyen la gestin de riesgos como parte integral de su cultura como fuente de creacin de valor. Con la ISO 31000 las organizaciones disponen de una herramienta para llevar a cabo la revisin de sus prcticas y procesos comparndolos con lo recogido en el nuevo estndar internacional. Gestin del riesgo Se define la gestin de riesgos como la coordinacin de actividades para dirigir y controlar una organizacin en relacin con el riesgo. El riesgo se define en la Gua ISO/CEI 73:2009 como el efecto de la incertidumbre sobre la consecucin de los objetivos. Es relevante sealar que el efecto puede ser una desviacin positiva o negativa (oportunidades o amenazas) frente al termino riesgo en su concepto tradicional que estaba nicamente ligado a las posibilidades de consecuencias negativas. El riesgo se suele expresar en trminos de la combinacin de las consecuencias de un suceso y de su probabilidad. Es importante referirse en este punto a la diferencia que se establece en la norma entre gerencia y gestin de riesgos. Tradicionalmente la primera hace referencia a la estructura para la gestin de riesgos, mientras que la segunda se refiere a la aplicacin de esa estructura a riesgos particulares. Como la norma ha sido publicada slo en los idiomas oficiales de ISO (ingls y francs), estamos a la espera de la traduccin al espaol lo que, de acuerdo con fuentes de su representante en Espaa (AENOR), ser en breve. Para una mayor eficacia, la gestin de riesgos debe tener en cuenta principios como: crear valor; estar integrada en procesos de la organizacin; formar parte de la toma de decisiones; estar basada en la mejor informacin disponible: estar hecha a medida, tener en cuenta factores humanos y culturales; ser transparente y exclusiva, ser dinmica; ser iterativa y sensible el cambio; facilitar la mejora continua de la organizacin. La variedad, complejidad y naturaleza de los riesgos a los que se enfrenta toda organizacin presenta un amplio abanico de posibilidades. Precisamente para hacer frente a esta gran variedad de amenazas, la ISO 31000 propone unas pautas genricas para gestionar los riesgos de manera sistemtica y transparente. En esta lnea generalista, la ISO 31000 no aporta una clasificacin de los riesgos como la contemplada en el estndar de FERMA que se representa en la figura adjunta.

El diseo e implantacin de este modelo de gestin de riesgos depender de las necesidades de cada organizacin, sus objetivos de negocio, el contexto en el que se desenvuelve, su estructura, procesos proyectos, servicios, etc. El enfoque recogido en la ISO 31000 est estructurado sobre la base de tres elementos claves para conseguir una gestin de riesgos efectiva: los principios para la gestin de riesgos; la estructura de soporte y el proceso de gestin de riesgos. La relacin entre los tres principios: gestin, estructura y procesos queda recogido en el esquema sinttico que se acompaa.

El xito de la gestin de riesgos depender de la efectividad de la estructura de gestin que proporcione la base y las disposiciones que permitan su integracin en todos los niveles de la organizacin. Esta estructura no est destinada a prescribir un sistema de gestin, sino ms bien a ayudar a la organizacin a integrar la gestin de riesgos en el sistema de gestin. Por tanto, las organizaciones deben adaptar los componentes de esta estructura a sus necesidades. La norma facilita a las organizaciones con componentes de gestin de riesgos ya implantados o que ya hayan adoptado un proceso de gestin de riesgos formal, los atributos necesarios para su revisin: -Establecimiento de metas de desempeo organizacional, medicin, revisin y posterior modificacin de procesos, sistemas, recursos, capacidad y habilidades. -Controles y tratamiento de riesgos exhaustivos.

-Toma de decisiones dentro de la organizacin, cualquiera que sea el nivel de importancia y trascendencia, implica la consideracin explcita de los riesgos y la aplicacin de la gestin de riesgos en la medida adecuada. -Comunicacin continua con los grupos de inters (stakeholders) internos y externos, incluida la elaboracin de informes completos y frecuentes del desempeo de la gestin de riesgos como parte del buen gobierno corporativo. La efectividad de la gestin de riesgos es esencial para el logro de los objetivos de la organizacin. Los resultados que la organizacin obtiene con la implantacin de un modelo de gestin de riesgos son, entre otros, una mejora de los controles; repartir y utilizar de forma efectiva los recursos disponibles para la gestin de riesgos; mejorar la eficacia y eficiencia operacional; aumentar la seguridad y la salud; mejorar la prevencin as como gestin de incidentes; minimizar las prdidas y mejorar el aprendizaje organizativo. Camino por recorrer No obstante el avance que supone para la gerencia de riesgos la publicacin de una norma como la ISO 31000, an queda camino por recorrer, ya que el estndar deja algunos vacos que debern ser resueltos entre los que destaca su diseo no enfocado para la certificacin. Adems la norma no garantiza que se identifican todas las zonas de riesgo al tiempo que no ofrece taxonomas de riesgo, mapas de calor u otro tipo de plantillas para el desarrollo de la documentacin y los informes de riesgo.