Vuelve la serie de normas «punto por punto» que tanto éxito tiene en este blog. Esta vez le toca el turno a la norma ISO 31000:2018 que también ha acabado adoptando la estructura del Anexo SL.
Comenzamos con los capítulos 0, 1, 2 y 3.
0. Introducción
Este documento está dirigido a las personas que crean y protegen el valor en las organizaciones gestionando riesgos, tomando decisiones, estableciendo y logrando objetivos y mejorando el desempeño.
Las organizaciones de todos los tipos y tamaños se enfrentan a factores e influencias externas e internas que hacen incierto si lograrán sus objetivos.
La gestión del riesgo es iterativa y asiste a las organizaciones a establecer su estrategia, lograr sus objetivos y tomar decisiones informadas.
La gestión del riesgo es parte de la gobernanza y el liderazgo y es fundamental en la manera en que se gestiona la organización en todos sus niveles. Esto contribuye a la mejora de los sistemas de gestión.
La gestión del riesgo es parte de todas las actividades asociadas con la organización e incluye la interacción con las partes interesadas.
La gestión del riesgo considera los contextos externo e interno de la organización, incluido el comportamiento humano y los factores culturales.
La gestión del riesgo está basada en los principios, el marco de referencia y el proceso descritos en este documento, conforme se ilustra en la figura a continuación. Estos componentes podrían existir previamente en toda o parte de la organización, sin embargo, podría ser necesario adaptarlos o mejorarlos para que la gestión del riesgo sea eficiente, eficaz y coherente.
*En 2018 se cambia una orientación a los procesos de la versión de 2010 a otra dirigida a las personas que crean y protegen el valor en las organizaciones.
1. Objeto y campo de aplicación
Este documento proporciona directrices para gestionar el riesgo al que se enfrentan las organizaciones. La aplicación de estas directrices puede adaptarse a cualquier organización y a su contexto.
Este documento proporciona un enfoque común para gestionar cualquier tipo de riesgo y no es específico de una industria o un sector.
Este documento puede utilizarse a lo largo de la vida de la organización y puede aplicarse a cualquier actividad, incluyendo la toma de decisiones a todos los niveles.
En el texto de arriba, te he subrayado aspectos que me parecen muy interesantes:
- Directrices para gestionar el riesgo que pueden adaptarse a cualquier organización y a su contexto.
Esto nos da la idea, de que son pautas a seguir, que pueden ser tomadas en cuenta o no. Recordemos que hay muchísimas maneras de gestionar el riesgo en las organizaciones y que esta norma es solo una de ellas.
2. Proporciona un enfoque común para gestionar cualquier tipo de riesgo.
Aquí se «intenta» hacer hincapié en que se trata de un documento orientativo para todo tipo y tamaño de organizaciones que no implica directamente un sistema de gestión, no es por tanto, una norma certificable.
3. Puede aplicarse a cualquier actividad, incluyendo la toma de decisiones a todos los niveles.
Las directrices de ISO 31000 pueden ser adoptadas tanto por multinacionales como por Pymes, empresas industriales o de servicios, organizaciones públicas o privadas, para riesgos medioambientales, laborales o de la calidad, o incluso en sistemas de gestión integrados. En otras palabras, la puede adoptar cualquier tipo de organización para cualquier tipo de riesgo. Fuente: Guía para la aplicación de UNE-ISO 31000:2018
2. Referencias normativas
Este apartado de la norma es nuevo respecto de la versión anterior y se ha introducido como consecuencia de la aplicación de la estructura de alto nivel.
En la anterior versión se indicaban en el anexo de bibliografía las siguientes referencias:
ISO Guide 73:2009 Risk management. Vocabulary.
ISO/IEC 31010 Risk management. Risk assessment techniques.
En la revisión de 2018 ha desaparecido la referencia bibliográfica a la ISO Guía 73, ya que han cambiado algunos de los ocho términos definidos, así́ como varias de las notas a las entradas de las definiciones.
Dentro del ISO/ TC 262, se ha constituido un grupo de trabajo con vistas a desarrollar una norma sobre terminología de gestión del riesgo: ISO 31073. Con respecto a la Norma ISO/IEC 31010, recientemente se ha publicado una nueva versión.
3. Términos y definiciones.
Este capítulo separa los términos por concepto, relacionando los distintos términos con el contexto en el que se engloban.
Para los fines de este documento, se aplican los términos y definiciones siguientes.
ISO e IEC mantienen bases de datos terminológicas para su utilización en normalización en las siguientes direcciones:
- — Plataforma de búsqueda en línea de ISO: disponible en http://www.iso.org/obp
- — Electropedia de IEC: disponible en http://www.electropedia.org
3.1 riesgo efecto de la incertidumbre sobre los objetivos.
Nota 1 a la entrada: Un efecto es una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas.
Nota 2 a la entrada: Los objetivos pueden tener diferentes aspectos y categorías, y se pueden aplicar a diferentes niveles.
Nota 3 a la entrada: Con frecuencia, el riesgo se expresa en términos de fuentes de riesgo, eventos potenciales, sus consecuencias y sus probabilidades.
3.2 gestión del riesgo actividades coordinadas para dirigir y controlar la organización con relación al riesgo.
3.3 parte interesada persona u organización que puede afectar, verse afectada, o percibirse como afectada por una decisión o actividad
Nota 1 a la entrada: Los términos en inglés “interested party” y “stakeholder” tienen una traducción única al español como “parte interesada”.
3.4 fuente de riesgo elemento que, por sí solo o en combinación con otros, tiene el potencial de generar riesgo.
3.5 evento ocurrencia o cambio de un conjunto particular de circunstancias.
Nota 1 a la entrada: Un evento puede tener una o más ocurrencias y puede tener varias causas y varias consecuencias.
Nota 2 a la entrada: Un evento también puede ser algo previsto que no llega a ocurrir, o algo no previsto que ocurre.
Nota 3 a la entrada: Un evento puede ser una fuente de riesgo.
3.6 consecuencia resultado de un evento que afecta a los objetivos.
Nota 1 a la entrada: Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos, directos o indirectos sobre los objetivos.
Nota 2 a la entrada: Las consecuencias se pueden expresar de manera cualitativa o cuantitativa.
Nota 3 a la entrada: Cualquier consecuencia puede incrementarse por efectos en cascada y efectos acumulativos.
3.7 probabilidad (likelihood) posibilidad de que algo suceda
Nota 1 a la entrada: En la terminología de gestión del riesgo, la palabra “probabilidad” se utiliza para indicar la posibilidad de que algo suceda, esté definida, medida o determinada objetiva o subjetivamente, cualitativa o cuantitativamente, y descrita utilizando términos generales o matemáticos (como una probabilidad matemática o una frecuencia en un periodo de tiempo determinado).
Nota 2 a la entrada: El término inglés “likelihood” (probabilidad) no tiene un equivalente directo en algunos idiomas; en su lugar se utiliza con frecuencia el término probabilidad. Sin embargo, en inglés la palabra “probability” (probabilidad matemática) se interpreta frecuentemente de manera más limitada como un término matemático. Por ello, en la terminología de gestión del riesgo, “likelihood” se utiliza con la misma interpretación amplia que tiene la palabra probabilidad en otros idiomas distintos del inglés.
3.8 control medida que mantiene y/o modifica un riesgo.
Nota 1 a la entrada: Los controles incluyen, pero no se limitan a cualquier proceso, política, dispositivo, práctica u otras condiciones y/o acciones que mantengan y/o modifiquen un riesgo.
Nota 2 a la entrada: Los controles no siempre pueden producir el efecto de modificación previsto o asumido.
¿Qué ha pasado aquí?
Que se han pasado abreviando en la terminología y se han dejado por el camino conceptos importantes. De 29 definiciones nos hemos quedado en 8 🤭
Según la Guía para la aplicación de UNE-ISO 31000:2018 sería interesante conocer, al menos, el significado de tres términos más: nivel de riesgo, criterio de riesgo y dueño del riesgo, por su relevancia en esta norma y en la aplicación práctica de la gestión del riesgo.
Como yo soy un poco nostálgica, te dejo por aquí esos 3 conceptos de la norma 2010. OJO: Solo como cultura general. Recuerda que en esta norma ya no aparecen 😉
nivel de riesgo: Magnitud de un riesgo o combinación de riesgos, expresados en términos de la combinación de las consecuencias y de su probabilidad.
criterios de riesgo: Términos de referencia respecto a los que se evalúa la importancia de un riesgo.
NOTA 1 Los criterios de riesgo se basan en los objetivos de la organización, y en el contexto externo e interno.
NOTA 2 Los criterios de riesgo se pueden obtener de normas, leyes, políticas y otros requisitos.
dueño del riesgo: Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo .
¿Y ahora qué?
Cuéntame si ya conocías estos cambios que sufrió la norma para adaptarse al Anexo SL. Te leo en los comentarios 😉
- ISO 31000:2018 Capítulo 6 (Parte I) - 7 abril, 2022
- El informe anual del Consejero de Seguridad - 3 junio, 2021
- ISO 31000:2018 Capítulo 5 (Parte II) - 2 junio, 2021