Recientemente lanzada, en febrero 15 de 2018, la ISO 31000 presenta las Normas Internacionales para la Gestión del Riesgo, con modificaciones importantes, entre ellas la estructura de muy alto nivel y buenos mensajes de inicio.

Para iniciar, está el hecho de forma de que la versión 2009 tenía un documento de 26 páginas, en tanto que la versión 2018 cuenta con 16 páginas, obviamente excluyendo portada, bibliografía y antecedentes, ahora con un sumario que se centra en lo importante.

En la versión actual de ISO 31000 se retiraron 21 términos y se hace referencia a la ISO que reemplaza a la ISO Guía 73. Se apunta que de 49 términos con definición en la ISO Guía 73, 29 términos aparecen otra vez con definición en ISO 31000:2009.

De los 8 términos que quedaron, hay 6 términos cuya definición y/o notas dentro de éstas fueron modificadas y deben ser cambiadas en la ISO que reemplace a la ISO Guía 73. Los términos modificados son: Riesgo, Fuente de riesgo, Evento, Parte interesada, Consecuencia, Control.

No proporciona ningún detalle especifico de implementación, que desde mi punto de vista sería muy importante por dos motivos:

1. La implementación de la gestión del riesgo es un arte, y depende de muchos factores, entre ellos la personalidad del ser humano, las preferencias, las relaciones y la madurez de la cultura organizacional.

2. La necesidad de integrarse en la toma de decisiones es de carácter obligado, pero no hay una receta para integrarse en un proceso determinado. De hecho, así las organizaciones sean del mismo reglón productivo muy seguramente integrarán el análisis de riesgos de manera diferente en el mismo proceso.

Cambios en los principios:

Revisado este apartado (clausula) de la Norma se puede concluir que los principios de creación de valor y toma de decisiones que estaban en la ISO 31000:2009, en la versión 2018 se resumen y concurren en la creación y protección de valor en la organización.

El principio de que la gestión del riesgo aborda explícitamente la incertidumbre fue eliminado porque este concepto ya estaba inmerso en la propia definición del riesgo.

Principales cambios MARCO DE REFERENCIA:

En el marco de referencia se incluyeron de manera expresa las responsabilidades de la Alta Dirección y de la Junta Directiva frente a la administración del riesgo.

Se ve una modificación en el tradicional ciclo PHVA del señor Deming, elemento en donde se hace énfasis en liderazgo y el compromiso y con ello se busca garantizar la conformidad no sólo de las obligaciones de la organización sino también de los compromisos voluntarios. Además, el ciclo PHVA se ve ampliado a cinco pasos integración, diseño, implementación evaluación y mejora.

Se hace hincapié en el hecho de que se inicia con de la Integración para llegar al diseño e implementación del Marco de Referencia, con lo cual la Norma da una mayor relevancia al hecho de que la Gestión del Riesgo hace parte como un todo en la Gestión de la Organización. En la versión 2018 de la Norma se da mayor insistencia e intención a la Consulta. Se deja dicho para las partes involucradas internas y externas que la consulta envuelve a los partícipes dando retroalimentación, con la esperanza de que esta retroalimentación debe ayudar y proporcionar forma a las decisiones. Otro elemento importante frente al marco de gestión es que la norma muestra de manera clara la necesidad de realizar la evaluación, de modo que el marco de gestión contribuya con el logro de los objetivos. Además, por último, hace una mejora del Marco de Referencia con base en las oportunidades que sean identificadas.

Como conclusiones importantes frente a esta Clausula, está el hecho de que en versión 2018 se enfatizan los roles y responsabilidades de la Alta Gerencia y la Junta Directiva en la Gestión del Riesgo. Se pondera la responsabilidad de asegurar la integración de la Gestión de Riesgos en la organización a través de su liderazgo y compromiso.

Principales cambios en el proceso:

En el proceso, en la nueva versión, los numerales del contexto tienen un cambio por un título más holístico desde mi punto de vista, pues dice campo de aplicación, contexto y criterios.

Se realizó una simplificación de textos, toda vez que están inmersos en el mismo documento. En los ítems de identificación y en el de análisis se circunscribió expresamente como factores a considerar: La parcialidad, asunciones, y creencias de los que participan. Estas atribuciones se comunicarán a aquellos que toman las decisiones.

En el ítem de evaluación aparece un elemento importante, pues se indica que la evaluación debe ser validada con los niveles adecuados de la organización.

Las conclusiones más importantes que podemos tener en el proceso está asociada al Reporte y Registro, pues son la base del proceso de Gestión del Riesgo. En la versión 2018 se deja manifiesto que dentro de los factores a considerar cuando se hace la identificación y el análisis de riesgos están los seres humanos por su parcialidad, asunciones, juicios y creencias.

Correspondencia entre los principios, el marco de trabajo y el proceso de gestión del riesgo:

La integración de la gestión de riesgos en una organización es un proceso dinámico e iterativo, y debe ajustarse según las necesidades y la cultura de la empresa. La gestión de riesgos debe ser pieza de, y no apartada de, el propósito organizacional, el gobierno, el liderazgo y el compromiso, la estrategia, los objetivos y las operaciones.

Referencias:

Icontec memorias charla virtual octubre 26 de 2017

Nuevo marco de gestión de riesgos para las organizaciones AENOR

Why do I love ISO31000:2018? Alexei Sidorenko, CRMP

ISO/FDIS 31000

ISO 31000:2018