Esto, argumentaba Bernstein, no significa que debamos considerarnos idiotas sino simplemente que debemos tener en cuenta la importancia de las consecuencias de estar equivocados. Para los que siempre hemos entendido el papel de las normas certificables como excelentes herramientas para la gestión de los riesgos empresariales por parte de la dirección de las empresas, la Organización Internacional para la Estandarización (ISO) acaba de poner a nuestra disposición la norma ISO 31000:2009, una norma que pretende dar un enfoque sobre la gestión general de los riesgos. La nueva norma acaba de ver la luz sólo en versión inglesa y francesa, por lo que habrá que esperar todavía un tiempo a la traducción oficial al español.
Hasta ahora, ISO simplemente contaba con la Guía ISO 73, una recopilación de términos sobre la gestión de riesgos que también acaba de ser revisada. A la par, a nivel internacional existían las normas de origen australiano- neozelandés AUS/NZ 4360 y canadiense CSA Q850, que durante más de 20 años han sido los estándares de referencia sobre la materia.
ISO 31000:2009 parte de las normas precursoras, por lo que podemos considerarla una norma bien revisada y ya validada, pero ofrece diversas novedades que describimos a continuación:
1) Cambia la definición de riesgo asociándola a la consecución de los objetivos (figura 1).
2) Establece que una organización debe asegurarse de cumplir en todos sus niveles los siguientes principios sobre su gestión de riesgos:
• Crear y proteger el valor.
• Integrarse en todos los procesos.
• Formar parte de la toma de decisiones.
• Reconducir explícitamente la incertidumbre.
• Ser sistemática, estructurada y oportuna.
• Basarse en la mejor información disponible.
• Estar elaborada a medida.
• Tener en cuenta los factores humanos y culturales.
• Ser transparente e inclusiva.
• Ser dinámica, iterativa y sensible a los cambios.
• Facilitar la mejora continua de la organización.
3) Describe un marco o estructura general para la gestión de los riesgos en forma de ciclo PDCA (Plan–Do–Check–Act) de mejora continua que no pretende ser en si mismo un sistema de gestión certificable, y de hecho esta norma no lo es, sino más bien ayudar a la organización a integrar la gestión
• “Incertidumbre medible” – Knight, Frank H. (1921), “Risk, Uncertainty and Profit”
• “Combinación de la probabilidad de un evento y su consecuencia” – ISO/IEC Guide 73:2002
• “Posibilidad de que un suceso tenga un impacto en los objetivos” – AS/NZS 4360:2004
• “Efecto de la incertidumbre en los objetivos” – ISO 31000:2009 de riesgos en su propio sistema de gestión (figura 2).
4) Define un proceso para la gestión de los riesgos que debería formar parte de la gestión, integrarse en su cultura y prácticas, y adaptarse a los distintos procesos operativos de la organización. Para ello establece cinco actividades básicas que se interrelacionan conforme al siguiente diagrama de proceso (figura 3).
5) Incorpora un anexo informativo donde describe los atributos que deberían considerar las organizaciones para apuntar al nivel más alto de desempeño en la gestión de riesgos, en relación con la criticidad de las decisiones a tomar, e indica algunos indicadores tangibles para cada atributo.
En resumen, nos encontramos con una norma interesante y que, aunque proporciona principios y directrices genéricas, no pretende promover la uniformidad en la gestión de riesgos, por lo que puede ser usada por cualquier empresa pública o privada, asociación, grupo o individuo y, en consecuencia, no es específica para ninguna industria o sector. Así, en el diseño y la implantación de planes para la gestión de riesgos y su estructura se deberán tener en cuenta las necesidades de cada organización, sus objetivos particulares, contexto, estructura, operaciones, procesos, funciones, proyectos, productos y servicios, pero también sus activos y sus prácticas específicas.
La norma puede ser aplicada durante toda la vida de una organización y para cualquier tipo de riesgo, independientemente de su naturaleza o de si sus consecuencias son positivas o negativas, y por ello se configura en una excelente herramienta de gestión para la dirección por lo que les animamos a considerar su implantación en su organización.
No hay comentarios:
Publicar un comentario