Seguimos con el paseo por la norma ISO 31000: 2018.
Hoy nos metemos de lleno en el Capítulo 5: Marco de referencia. En esta primera parte, vamos a ver los epígrafes hasta el 5.4 y en la siguiente parte llegaremos hasta el 5.7.
¿Preparado?
¡Vamos!
5. Marco de referencia
5.1 Generalidades
El propósito del marco de referencia de la gestión del riesgo es asistir a la organización en integrar la gestión del riesgo en todas sus actividades y funciones significativas. La eficacia de la gestión del riesgo dependerá de su integración en la gobernanza de la organización, incluyendo la toma de decisiones. Esto requiere el apoyo de las partes interesadas, particularmente de la alta dirección.
Todo lo que dependa de la alta dirección es una «pequeña piedra» en el camino para los que nos dedicamos a la calidad (gestión de riesgos incluida). ¿Por qué? Pues porque si la alta dirección no lo tiene claro y lo trasmite a toda la organización, será como arar en el mar.
Cuando hablamos de integrar la gestión del riesgo en “todas las actividades y funciones significativas” de una organización, especialmente para organizaciones de cierto tamaño, nos referimos a un objetivo a largo plazo; lo que implica cambios en la forma de tomar decisiones, en la cultura de la organización, en los procesos administrativos y en la supervisión. Mediante estos cambios se logra incluir de manera explícita la toma de decisiones basada en el riesgo.
Al integrar la gestión del riesgo en la toma de decisiones se deberían tomar en consideración tanto los riesgos con efecto negativo como los riesgos con efecto positivo (oportunidades).
El desarrollo del marco de referencia implica integrar, diseñar, implementar, valorar y mejorar la gestión del riesgo a lo largo de toda la organización. La Figura 3 ilustra los componentes del marco de referencia.
La organización debería valorar sus prácticas y procesos existentes de la gestión del riesgo, valorar cualquier brecha y abordar estas brechas en el marco de referencia.
Los componentes del marco de referencia y la manera en la que trabajan juntos, deberían adaptarse a las necesidades de la organización.
Para poder implementar los cinco componentes definidos en el marco de referencia (integración, diseño, implementación, valoración y mejora) es necesario comenzar, como indica la norma, con una valoración de las prácticas y procesos existentes de la gestión del riesgo. Esto se puede hacer a través de un diagnóstico o análisis de brechas (gap analysis en inglés), para así poder establecer niveles actuales de madurez en todos los componentes de la gestión del riesgo en la organización.
5.2 Liderazgo y compromiso
La alta dirección y los órganos de supervisión, cuando sea aplicable, deberían asegurar que la gestión del riesgo esté integrada en todas las actividades de la organización y deberían demostrar el liderazgo y compromiso:
— adaptando e implementando todos los componentes del marco de referencia;
— publicando una declaración o una política que establezca un enfoque, un plan o una línea de acción para la gestión del riesgo;
— asegurando que los recursos necesarios se asignan para gestionar los riesgos;
— asignando autoridad, responsabilidad y obligación de rendir cuentas en los niveles apropiados dentro de la organización;
Esto ayudará a la organización a:
— alinear la gestión del riesgo con sus objetivos, estrategia y cultura;
— reconocer y abordar todas las obligaciones, así como sus compromisos voluntarios;
— establecer la magnitud y el tipo de riesgo que puede o no ser tomado para guiar el desarrollo de los criterios del riesgo, asegurando que se comunican a la organización y a sus partes interesadas.
— comunicar el valor de la gestión del riesgo a la organización y sus partes interesadas;
— promover el seguimiento sistemático de los riesgos;
— asegurarse de que el marco de referencia de la gestión del riesgo permanezca apropiado al contexto de la organización.
La alta dirección rinde cuentas por gestionar el riesgo mientras que los órganos de supervisión rinden cuentas por la supervisión de la gestión del riesgo. Frecuentemente se espera o se requiere que los órganos de supervisión:
— se aseguren de que los riesgos se consideran apropiadamente cuando se establezcan los objetivos de la organización;
— comprendan los riesgos a los que hace frente la organización en la búsqueda de sus objetivos;
— se aseguren de que los sistemas para gestionar estos riesgos se implementen y operen eficazmente;
— se aseguren de que estos riesgos sean apropiados en el contexto de los objetivos de la organización;
— se aseguren de que la información sobre estos riesgos y su gestión se comunique de la manera apropiada.
Wow! Menuda parrafada.
Vayamos por partes…
La implicación de la alta dirección y su consecuente liderazgo y compromiso con la gestión del riesgo pueden existir por iniciativa propia (esto es una «rara avis»), porque así lo requiere el consejo de administración, o por la exigencia establecida en alguna ley o regulación relacionada con esta materia (la más común).
Algunas organizaciones solo empiezan a tomarse en serio la gestión del riesgo después de que algún riesgo con consecuencias importantes para las mismas se ha materializado, lo que hace reaccionar a la alta dirección y asumir un rol de mayor relevancia en su gestión.
Con independencia delos motivos que tenga la alta dirección para decidir ejercer este liderazgo y compromiso, esta debe adoptar un rol activo y estar involucrada en la gestión del riesgo si se desea que este esfuerzo tenga éxito y contribuya a la creación y protección del valor de la organización.
Te he preparado esta imagen resumen sobre cómo la alta dirección puede demostrar la famosa evidencia de liderazgo y compromiso:
¿Y qué es esto de «asegurarse de que el marco de referencia de la gestión del riesgo permanezca apropiado al contexto de la organización» que aparece ahí camuflado como beneficio?
Para asegurarse de que el marco de referencia de la gestión del riesgo permanezca adecuado al contexto de la organización, podemos aplicar entre otras, las siguientes técnicas:
- Autoevaluación.
- Análisis de brechas del marco de referencia para la gestión del riesgo.
- Estudios de nivel de madurez en gestión del riesgo.
- Auditorías internas y externas de los sistemas de gestión con los que cuente la organización.
Para hacer seguimiento y revisión del contexto, se podrían aplicar entre otras técnicas:
- El análisis PESTEL (factores Políticos, Económicos, Sociales, Tecnológicos, Ambientales y Legales).
- El análisis FODA (o DAFO).
- La matriz de poder e influencia (de las partes interesadas).
- El análisis de ciclo de vida del producto (o del proceso).
5.3 Integración
La integración de la gestión del riesgo depende de la comprensión de las estructuras y el contexto de la organización. Las estructuras difieren dependiendo del propósito, las metas y la complejidad de la organización. El riesgo se gestiona en cada parte de la estructura de la organización. Todos los miembros de una organización tienen la responsabilidad de gestionar el riesgo.
La gobernanza guía el curso de la organización, sus relaciones externas e internas y las reglas, los procesos y las prácticas necesarios para alcanzar su propósito. Las estructuras de gestión convierten la orientación de la gobernanza en la estrategia y los objetivos asociados requeridos para lograr los niveles deseados de desempeño sostenible y de viabilidad en el largo plazo. La determinación de los roles para la rendición de cuentas y la supervisión de la gestión del riesgo dentro de la organización son partes integrales de la gobernanza de la organización.
La integración de la gestión del riesgo en la organización es un proceso dinámico e iterativo, y se debería adaptar a las necesidades y a la cultura de la organización. La gestión del riesgo debería ser una parte de, y no estar separada del propósito, la gobernanza, el liderazgo y compromiso, la estrategia, los objetivos y las operaciones de la organización.
Este epígrafe queda muy bonito sobre el papel. Evidentemente, el nivel de integración dependerá de cada organización, empezando por la alta dirección y continuando con el nivel de cultura del riesgo que haya en cada una de las organizaciones. No es lo mismo una multinacional del petróleo que la peluquería de mi barrio. ¿Ambas pueden integrar el riesgo si se lo proponen? Por supuesto, pero no al mismo nivel.
5.4 Diseño
5.4.1 Comprensión de la organización y de su contexto
La organización debería analizar y comprender sus contextos externo e interno cuando diseñe el marco de referencia para gestionar el riesgo. El análisis del contexto externo de la organización puede incluir, pero no limitarse a:
— los factores sociales, culturales, políticos, legales, reglamentarios, financieros, tecnológicos, económicos y ambientales ya sea a nivel internacional, nacional, regional o local;
— los impulsores clave y las tendencias que afectan a los objetivos de la organización;
— las relaciones, percepciones, valores, necesidades y expectativas de las partes interesadas externas;
— las relaciones contractuales y los compromisos;
— la complejidad de las redes y dependencias.
El análisis del contexto interno de la organización puede incluir, pero no limitarse a:
— la visión, la misión y los valores;
— la gobernanza, la estructura de la organización, los roles y la rendición de cuentas;
— la estrategia, los objetivos y las políticas;
— la cultura de la organización;
— las normas, las directrices y los modelos adoptados por la organización;
— las capacidades, entendidas en términos de recursos y conocimiento (por ejemplo, capital, tiempo, personas, propiedad intelectual, procesos, sistemas y tecnologías);
— los datos, los sistemas de información y los flujos de información;
— las relaciones con partes interesadas internas, teniendo en cuenta sus percepciones y valores;
— las relaciones contractuales y los compromisos;
— las interdependencias e interconexiones.
En este blog, tienes varios post sobre herramientas para análisis de contexto. Lo importante aquí es entender que el análisis de contexto está estrechamente relacionado con los objetivos de la organización y con las partes interesadas.
5.4.2 Articulación del compromiso con la gestión del riesgo
La alta dirección y los organismos de supervisión, cuando sea aplicable, deberían articular y demostrar su compromiso continuo con la gestión del riesgo mediante una política, una declaración u otras formas que expresen claramente los objetivos y el compromiso de la organización con la gestión del riesgo. El compromiso debería incluir, pero no limitarse a:
— el propósito de la organización para gestionar el riesgo y los vínculos con sus objetivos y otras políticas;
— el refuerzo de la necesidad de integrar la gestión del riesgo en toda la cultura de la organización;
— el liderazgo en la integración de la gestión del riesgo en las actividades principales del negocio y la toma de decisiones;
— las autoridades, las responsabilidades y la obligación de rendir cuentas;
— la disponibilidad de los recursos necesarios;
— la manera de manejar los objetivos en conflicto;
— la medición e informe como parte de los indicadores de desempeño de la organización;
— la revisión y la mejora.
El compromiso con la gestión del riesgo se debería comunicar dentro de la organización y a las partes interesadas, de manera apropiada.
La alta dirección la conocemos de sobra, pero, ¿quiénes son exactamente los organismos de supervisión?
Los organismos de supervisión podrían estar constituidos por:
- Comités de gobierno corporativo (o gobernanza), control interno, auditoría, gestión del riesgo y seguridad de la información, entre otros.
- También podrían ser áreas o funciones de Tribunal de Cuentas, seguridad física (Safety), protección patrimonial (Security), administración de riesgos (en algunos países se llama así al área responsable de la compra y administración de seguros), y otras áreas o puestos que pudieran desempeñar alguna de estas funciones de manera conjunta con otras de soporte administrativo.
Para demostrar el compromiso en una empresa pequeña como la peluquería que ya te había comentado unas líneas más arriba, es suficiente con una declaración firmada por la peluquera y sus ayudantes, comprometiéndose a desarrollar y apoyar una cultura de la gestión del riesgo basada en las directrices de la norma ISO 31000. En el caso de empresas medianas o grandes, es aconsejable desarrollar una política en condiciones.
5.4.3 Asignación de roles, autoridades, responsabilidades y obligación de rendir cuentas en la organización
La alta dirección y los órganos de supervisión, cuando sea aplicable, deberían asegurarse de que las autoridades, las responsabilidades y la obligación de rendir cuentas de los roles relevantes con respecto a la gestión del riesgo se asignen y comuniquen a todos los niveles de la organización y deberían:
— enfatizar que la gestión del riesgo es una responsabilidad principal;
— identificar a las personas que tienen asignada la obligación de rendir cuentas y la autoridad para gestionar el riesgo (dueños del riesgo).
Lo importante de este apartado es identificar de manera clara a los dueños del riesgo y que lo sepan ellos, por supuesto 😂
Es tan sencillo como crear un Excel o documento de Word con dos columnas: rol y responsabilidades. Luego habrá que comunicar a las personas implicadas su responsabilidad. Esto parece muy obvio, pero hay organizaciones que tienen documentos de adorno «por cumplir con una normativa determinada».
5.4.4 Asignación de recursos
La alta dirección y los órganos de supervisión, cuando sea aplicable, deberían asegurar la asignación de los recursos apropiados para la gestión del riesgo, que puede incluir, pero no limitarse a:
— las personas, las habilidades, la experiencia y las competencias;
— los procesos, los métodos y las herramientas de la organización a utilizar para gestionar el riesgo;
— los procesos y procedimientos documentados;
— los sistemas de gestión de la información y del conocimiento;
— el desarrollo profesional y las necesidades de formación.
La organización debería considerar las competencias y limitaciones de los recursos existentes.
En este apartado no hay mucho que añadir, simplemente, hacer hincapié en el análisis de los recursos existentes para identificar las competencias y limitaciones de los mismos. Este debe ser un trabajo periódico para reforzar la proactividad de la gestión de riesgos. No sirve de nada darse cuenta de que nos falta algo, cuando ya se ha producido el riesgo.
5.4.5 Establecimiento de la comunicación y la consulta
La organización debería establecer un enfoque aprobado con relación a la comunicación y la consulta, para apoyar el marco de referencia y facilitar la aplicación eficaz de la gestión del riesgo. La comunicación implica compartir información con el público objetivo. La consulta además implica que los participantes proporcionen retroalimentación con la expectativa de que ésta contribuya y de forma a las decisiones u otras actividades. Los métodos y el contenido de la comunicación y la consulta deberían reflejar las expectativas de las partes interesadas, cuando sea pertinente.
La comunicación y la consulta deberían ser oportunas y asegurar que se recopile, consolide, sintetice y comparta la información pertinente, cuando sea apropiado, y que se proporcione retroalimentación y se lleven a cabo mejoras.
¿Quién comunica qué?
Pues las personas involucradas en la gestión del riesgo, no solo los dueños del riesgo, sobre todo a la alta dirección.
Al hacer la comunicación y consulta con la alta dirección no se trata de convencer a alguien de que la gestión del riesgo agrega valor, sino de que la propia ejecución de la gestión del riesgo debería mostrar ese valor.
Y hasta aquí hemos llegado. En el próximo post más. Cuéntame en los comentarios qué tal va el marco de referencia en tu empresa.
Bibliografía
Para el desarrollo de este post he utilizado la Norma ISO 31000:2018 y el libro Guía para la aplicación de UNE-ISO 31000:2018, de Ángel Escorial Bonet, Jorge Escalera Alcázar, Sergio Simón Quintana y Julián Cid Méndez.
- ISO 31000:2018 Capítulo 6 (Parte I) - 7 abril, 2022
- El informe anual del Consejero de Seguridad - 3 junio, 2021
- ISO 31000:2018 Capítulo 5 (Parte II) - 2 junio, 2021