General:
Toda organización nace con un propósito, y para cumplirlo requiere reunir diversas condiciones que le permitan crecer y desarrollarse de manera permanente, independientemente de su tamaño, naturaleza o actividades. La primera condición a cumplir será conocer y comprender su contexto, a fin de determinar los factores internos y externos y la influencia que estos ejercen y afectan su propósito; este conocimiento incluye la definición de sus partes interesadas y necesidades.
En el conocimiento y comprensión del contexto, deberá definir las amenazas que lo aquejan para prever acciones que le ayuden a mitigar sus posibles impactos adversos; es precisamente aquí en donde se genera una incertidumbre sobre los riesgos que representan esas amenazas; para ello debe adoptar una gestión de riesgos que le aporte los insumos suficientes para administrar de forma más acertada la incertidumbre y tomar las decisiones más adecuadas.
Objetivo:
El objetivo principal de ISO 31000 es ayudar a la organización a integrar la gestión de riesgos en sus actividades y funciones significativas, por lo que su efectividad dependerá de su integración en las actividades de la gobernanza de la organización (incluyendo la toma de decisiones); para ello se requiere principalmente el apoyo de la alta dirección, así como de sus integrantes, socios, inversionistas y otras partes interesadas.
Estructura:
1. Objeto y campo de aplicación.
2. Referencias normativa.
3. Términos y definiciones.
4. Principios.
5. Marco de trabajo.
5.1 Generalidades.
5.2 Liderazgo y compromiso.
5.3 Integración.
5.4 Diseño.
5.5 Implementación.
5.6 Evaluación.
5.7 Mejora.
6. Proceso.
6.1 Generalidades.
6.2 Comunicación y consulta.
6.3 Alcance, contexto y criterios.
6.4 Apreciación del riesgo.
6.5 Tratamiento del riesgo.
6.6 Seguimiento y revisión.
6.7 Registro y presentación de informes.
Principales cambios de ISO 31000 en comparación con la edición anterior:
- Revisión de los principios de la gestión de riesgos, que son los criterios clave para el éxito.
- Destacar el liderazgo de la alta dirección y la integración de la gestión del riesgo, comenzando con la gobernanza de la organización.
- Mayor énfasis en la naturaleza iterativa de la gestión del riesgo, señalando que las nuevas experiencias, conocimiento y análisis pueden conducir a una revisión de procesos, acciones y controles en cada etapa del proceso.
- Mayor enfoque para mantener un modelo de sistemas abiertos para adaptarse a múltiples necesidades y contextos.
Ventajas para las partes interesadas:
- Ofrece seguridad a sus partes interesadas, al tratar con una organización comprometida con la adecuada gestión de sus amenazas y riesgos.
- Aumenta la eficacia en la respuesta ante situaciones de emergencia.
- Permite contar con planes adecuados para enfrentar posibles amenazas o riesgos.
Ventajas en el mercado:
- Imagen de credibilidad y prestigio.
- Brinda seguridad y confianza a sus partes interesadas.
- Competitividad, fortaleza y adecuada gestión de riesgos, evitando afectar a sus partes interesadas.
Beneficios de y expectativas para la organización:
- La norma ISO 31000:2018 está destinada a personas que crean y protegen el valor en las organizaciones mediante la gestión de riesgos, la toma de decisiones, el logro de objetivos y la mejora del desempeño.
- Organizaciones de todos los tipos y tamaños se enfrentan a factores externos e internos e influencias que hacen que sea incierto si lograrán sus objetivos.
- La gestión del riesgo es dinámica y ayuda a las organizaciones a establecer estrategias, alcanzar objetivos y tomar decisiones informadas.
- Controlar el riesgo es parte de la gobernanza y el liderazgo, y es fundamental para la organización en todos los niveles. Contribuye a la mejora de los sistemas de gestión.
- Supervisar el riesgo es parte de todas las actividades asociadas a una organización e incluye la interacción con las partes interesadas.
- La gestión del riesgo considera el contexto externo e interno de la organización, incluyendo el comportamiento humano y los factores culturales.
- La gestión del riesgo está basada en principios, marco de trabajo y procesos delineados, como se ilustra en la siguiente figura. Es posible que estos componentes ya existan en su totalidad o en parte dentro de la organización, sin embargo, pueden necesitar ser adaptados o mejorados para que la gestión del riesgo sea eficiente, efectiva y consistente.
Diferencias de ISO 31000 entre las versiones 2009 y 2018
2009 |
2018 |
1. Objeto y campo de aplicación | 1. Objeto y campo de aplicación |
2. Referencias normativas | |
2. Términos y definiciones | 3. Términos y definiciones |
3. Principios | 4. Principios |
4. Marco de trabajo | 5. Marco de trabajo |
4.1 Generalidades |
5.1 Generalidades |
4.2 Mandato y compromiso |
5.2 Liderazgo y compromiso |
4.3 Diseño del marco de trabajo de la gestión del riesgo |
5.4 Diseño |
4.3.1 Comprensión de la organización y su contexto | 5.4.1 Comprensión de la organización y su contexto |
5.4.2 Estructuración del compromiso de la gestión del riesgo |
|
4.3.2 Establecimiento de la política de gestión de riesgo | 5.2 Liderazgo y compromiso |
4.3.3 Obligación de rendir cuentas | 5.4.3 Asignación de roles organizacionales, autoridades, responsabilidades y rendición de cuentas |
4.3.4 Integración en los procesos de la organización | 5.3 Integración |
4.3.5 Recursos | 5.4.4 Asignación de recursos |
4.3.6 Establecimiento de los mecanismos internos de comunicación y de información | 5.4.5 Estableciendo la comunicación y consulta |
4.3.7 Establecimiento de los mecanismos externos de comunicación y de información | |
4.4 Implementación de la gestión del riesgo |
5.5 Implementación |
4.4.1 Implementación del marco de trabajo de la gestión del riesgo | |
4.4.2 Implementación del proceso de la gestión del riesgo | |
4.5 Seguimiento y revisión del marco de trabajo | 5.6 Evaluación |
4.6 Mejora continua del marco de trabajo |
5.7 Mejora |
5.7.1 Adaptación |
|
5.7.2 Mejora continua |
|
5. Proceso | 6. Proceso |
5.1 Generalidades | 6.1 Generalidades |
5.2 Comunicación y consulta | 6.2 Comunicación y consulta |
5.3 Establecimiento del contexto | 6.3 Alcance, contexto y criterio |
5.3.1 Generalidades | 6.3.1 Generalidades |
6.3.2 Definiendo el alcance | |
5.3.2 Establecimiento del contexto externo | 6.3.3 Contexto externo e interno |
5.3.3 Establecimiento del contexto interno | |
5.3.4 Establecimiento del contexto del proceso de gestión del riesgo | |
5.3.5 Definición de los criterios de riesgo |
6.3.4 Definición de los criterios del riesgo |
5.4 Apreciación del riesgo |
6.4 Apreciación del riesgo |
5.4.1 Generalidades |
6.4.1 Generalidades |
5.4.2 Identificación del riesgo |
6.4.2 Identificación del riesgo |
5.4.3 Análisis del riesgo |
6.4.3 Análisis del riesgo |
5.4.4 Evaluación del riesgo |
6.4.4 Evaluación del riesgo |
5.5 Tratamiento del riesgo |
6.5 Tratamiento del riesgo |
5.5.1 Generalidades |
6.5.1 Generalidades |
5.5.2 Selección de opciones de tratamiento de riesgos |
6.5.2 Selección de opciones de tratamiento de riesgo |
5.5.3 Preparación e implementación de los planes de tratamiento del riesgo |
6.5.3 Preparación e implementación de los planes del tratamiento del riesgo |
5.6 Seguimiento y revisión |
6.6 Seguimiento y revisión |
5.7 Registro del proceso de gestión del riesgo |
6.7 Registro y presentación de informes |