1.4k

Seguimos con este «viaje» por la norma ISO 31000: 2018.

Hoy vamos a meternos de lleno en el Capítulo 4: Principios.

¿Preparado?

¡Vamos a ello!

4. Principios

El propósito de la gestión del riesgo es la creación y la protección del valor. Mejora el desempeño, fomenta la innovación y contribuye al logro de objetivos.

Los principios descritos en la Figura 2 proporcionan orientación sobre las características de una gestión del riesgo eficaz y eficiente, comunicando su valor y explicando su intención y propósito. Los principios son el fundamento de la gestión del riesgo y se deberían considerar cuando se establece el marco de referencia y los procesos de la gestión del riesgo de la organización. Estos principios deberían habilitar a la organización para gestionar los efectos de la incertidumbre sobre sus objetivos.

ISO 31000:2018 Principios

De los once principios de la versión de 2010, la versión actual mantiene ocho. Los otros tres han escalado en su importancia: la creación de valor ha pasado a ser propósito de la norma.

La gestión del riesgo eficaz requiere los elementos de la Figura 2 y puede explicarse como sigue:

Integrada

La gestión del riesgo es parte integral de todas las actividades de la organización.

Bien, ¿y esto qué quiere decir?

Que debemos considerar el riesgo como parte de la organización y no como una actividad «extra».

Como siempre, la alta dirección debe ser consciente de su importancia e integrarlo dentro de la estrategia: planificación estratégica.

Por otra parte, la gestión del riesgo debe ser parte importante de las operaciones de la organización e integrarla dentro de los procesos, procedimientos, etc. Aunque no se tenga implantado un sistema de gestión de la calidad basado en ISO 9001 (que ya sabemos que aquí sí que es un requisito).

Estructurada y exhaustiva

Un enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a resultados coherentes y comparables.

Eso dice la norma, otra cosa es cómo se aplica en la vida real de la empresa.

La gestión del riesgo debe ser planificada y controlada para asegurar su eficacia. De nada sirve crear un «monstruo» de la gestión del riesgo con millones de informes, controles y documentos «por cumplir», si al final nadie entiende nada y no nos estamos preparando realmente para el riesgo.

Adaptada

El marco de referencia y el proceso de la gestión del riesgo se adaptan y son proporcionales a los contextos externo e interno de la organización relacionados con sus objetivos.

Esto es que deben alinearse con los contextos interno y externo de la organización.

No se trata de «copiar y pegar» los riesgos y oportunidades de las organizaciones similares (porque nos hayan prestado una plantilla), sino ser conscientes de cuál es el contexto tanto interno como externo de nuestra organización y considerar, además, las partes interesadas.

Inclusiva

La participación apropiada y oportuna de las partes interesadas permite que se consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una mayor toma de conciencia y una gestión del riesgo informada.

Recordemos que existen partes interesadas tanto internas (dueños del riesgo, alta dirección), como externas (reguladores, proveedores, financiadores) y ambas pueden tener un impacto significativo en la organización, en este caso, en la gestión del riesgo.

Este principio reconoce la necesidad de incluir a las partes interesadas a lo largo de todo el proceso de gestión del riesgo, incluyendo el establecimiento del contexto y la determinación de los criterios de riesgo.

Dinámica

Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos externo e interno de la organización. La gestión del riesgo anticipa, detecta, reconoce y responde a esos cambios y eventos de una manera apropiada y oportuna.

Es importante que el sistema de gestión de riesgos sea un ente vivo, para cumplir con su función de anticiparnos a los cambios en los contextos internos y externos de la organización. De nada sirve que hagamos planes de mitigación, identificación de riesgos, le pongamos colores y los dejemos ahí durmiendo el sueño eterno.

Mejor información disponible

Las entradas a la gestión del riesgo se basan en información histórica y actualizada, así como en expectativas futuras. La gestión del riesgo tiene en cuenta explícitamente cualquier limitación e incertidumbre asociada con tal información y expectativas. La información debería ser oportuna, clara y disponible para las partes interesadas pertinentes.

Los que toman decisiones deben asegurarse de usar información fiable para la gestión del riesgo. Está claro que alguna vez se nos puede «colar» información no fiable, para muestra las «fake news» que están a la orden del día. Se trata de asumir la responsabilidad de contrastar la información y buscar en varias fuentes.

Factores humanos y culturales

El comportamiento humano y la cultura influyen considerablemente en todos los aspectos de la gestión del riesgo en todos los niveles y etapas.

En este caso tenemos que tener en cuenta que los que gestionamos los riesgos, no dejamos de ser humanos con nuestras barreras mentales, miedos, prejuicios, etc.

«La gestión de riesgos es muy complicada».

«No voy a poder hacerlo».

«Eso es cosa de las grandes multinacionales, a mi empresa pequeña no le va a pasar nada».

«Tengo muchas cosas en la cabeza para preocuparme ahora de los benditos riesgos».

Y esto son solo ejemplos que se me han ocurrido escribiendo este post. Imagina la casuística que nos podemos encontrar en cada una de las organizaciones.

Mejora continua

La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.

Aquí nos encontramos con la revisión continua para la mejora. Es importante recalcar que toda mejora viene del análisis, que nos conocemos y a veces intentamos mejorar lo que no lo necesita.

Y hasta aquí el capítulo 4.

Cuéntame en comentarios si has interpretado esto de los principios de la misma manera que yo, o si tienes alguna otra idea.

Sígueme

You may also like