Qué es la norma ISO 31000 y para qué sirve

La norma “ISO 31000:2018. Gestión del Riesgo. Directrices” es una norma fundamental en Risk Management. Se trata de un estándar internacional que establece las directrices para que cualquier tipo de organización, sea cual sea su sector y tamaño, pueda considerar el riesgo como elemento generador de valor. Y es generador de valor porque ayuda a alcanzar los objetivos mediante un pensamiento basado en riesgo para la toma de decisiones. Por tanto, todo profesional que quiera dedicarse a la gestión de riesgos debe saber para qué sirve esta normativa.

Estructura de la ISO 31000

El estándar ISO 31000 está estructurado en seis capítulos. Conocer su estructura y filosofía, es el primer paso para poder entender posteriormente toda la parte “ejecutiva” de la gestión del riesgo, la consideración de técnicas y herramientas y la forma de reportar para una mejor toma de decisiones. Entre los capítulos de la norma se encuentran el de principios, marco de referencia o procesos.

1. Principios:

La ISO 31000 se basa en 11 principios que encajan con toda la estructura y objetivos de la organización y que están relacionadas con las normativas de la implementación de riesgos. Podemos considerar esta norma como una guía de buenas prácticas para las actividades relacionadas con la gestión del riesgo. Entre sus principios, podemos destacar de los siguientes:

1. Crea valor.
2. Está integrada en los procesos de la organización.
3. Forma parte de la toma de decisiones.
4. Trata explícitamente la incertidumbre.
5. Es sistemática, estructurada y adecuada.
6. Está basada en la mejor información posible.
7. Está hecha a medida.
8. Tiene en cuenta factores humanos y culturales.
9. Es transparente e inclusiva.
10. Es dinámica, iterativa y sensible al cambio.
11. Facilita la mejora continua de la organización.

2. Marco de referencia

El marco de referencia de la norma integra la gestión del riesgo en todas sus actividades y funciones significativas. Requiere el apoyo de las partes interesadas, particularmente de la alta dirección de la organización.

El desarrollo del marco de referencia implica integrar, diseñar, implementar, valorar y mejorar la gestión del riesgo a lo largo de toda la organización.

3. Proceso

Implica la aplicación sistemática de políticas, procedimientos y prácticas a las actividades de comunicación y consulta, establecimiento del contexto y evaluación, tratamiento, seguimiento, revisión, registro e informe del riesgo.

La organización que aplique los principios de esta norma estará preparada para afrontar los riesgos a los que se enfrenta. No sólo para mitigarlos y prevenirlos, sino también para convertirlos en oportunidades. La norma de referencia en Risk Management no hace referencia a un sistema de gestión concreto de una organización, sino que sus directrices se pueden aplicar a cualquier sistema, y a cualquier compañía. 

De esta forma, tener en cuenta la norma de gestión de riesgos más importante puede implicar realizar todos los trabajos necesarios para cumplir con todos y cada uno de los principios de la norma. Además, también se puede utilizar para aplicar en determinados procesos o en determinadas circunstancias. Es decir, no tiene por qué aplicarse obligatoriamente a toda la organización.

Cómo surge la actualización de 2018

La ISO 31000 ha sido elaborada por la Organización Internacional de Normalización (ISO, por sus siglas en inglés). Tiene entre sus antecedentes guías como la ISO 72:2002. Si bien, la primera norma se publicó bajo el título ISO 31000:2009.

Tras nueve años de rodaje, se redacta y aprueba la nueva versión de 2018, vigente en la actualidad. El comité técnico internacional de normalización ISO/TC 262 risk management, es el encargado de revisar y proponer los diferentes redactados de la serie 31000.

A nivel nacional, cada país adopta las normas ISO mediante organismos nacionales de normalización. En España, por ejemplo, es UNE, a través del comité técnico nacional CTN307 gestión del riesgo. De esta manera, la normativa pasó a ser UNE-ISO-31000:2018 en España.

ISO 31000 gratis

Como consecuencia de la pandemia del COVID-19 la International Organization for Standardization (ISO) ha habilitado la lectura de la norma ISO 31000 gratis. No es posible descargarse la normativa en pdf, si bien, la organización sí que permite acceder a ella en varios idiomas, incluido el español.

¿A quién va dirigida la norma?

La ISO 31000 está dirigida a las personas que gestionan el riesgo  en las organizaciones: tomando decisiones, estableciendo y logrando objetivos y mejorando el desempeño.

Certificación ISO 31000: ¿Es certificable la principal norma en Risk Management?

A diferencia de otras normas ISO, que sí se pueden certificar, esta ISO 31000 no es certificable. Y no lo es porque no hace referencia a un sistema de gestión concreto. Así, la organización o empresa que aplique los principios de esta norma estará teniendo en cuenta el riesgo en sus procesos, pero no estará implementando ningún sistema de gestión.

No obstante, en algunos casos, podemos encontrar reconocimientos de carácter privado de estar cumpliendo con los principios de esta norma en gestión de riesgos, pero sin poder ser considerada una certificación de norma propiamente dicha.

Gestión de riesgos en empresas

Una empresa u organización se enfrenta a una serie de factores internos y externos que pueden afectar a su actividad o no permitirle alcanzar sus objetivos; incluso pueden provocar su colapso.

Actualmente existen muchos riesgos, como los derivados de la inflación, de la liquidez, del contexto legal, del contexto cultural, provocados por catástrofes… La capacidad que tenga una organización para enfrentarse a estas amenazas puede ser el motivo de su éxito o fracaso.

Para hacer frente a los posibles riesgos de una forma efectiva, es necesario desarrollar e implementar un marco de trabajo para poder identificarlos, analizarlos y controlarlos. La normativa ISO 31000 en gestión de riesgos ha sido diseñada especialmente para la protección del valor de una empresa y que esta pueda lograr sus objetivos de forma eficaz.

Diagnosticar, analizar y tratar los riesgos que provienen de cambios tanto internos como externos es una forma de evitar ser sorprendidos por circunstancias desconocidas. El estándar internacional recoge las prácticas para gestionar el riesgo de forma eficiente en cualquier organización, pública o privada. La normativa ayuda a poder identificar, analizar, evaluar y disminuir los riesgos que puedan afectarla.

El proceso de implementación de la ISO 31000 para la gestión de riesgos es el siguiente:

• Establecer el contexto externo e interno. Saber cuáles riesgos son derivados de factores culturales, sociales, políticos, legales, económicos, etc. y si son negativos o positivos.
• Definir los riesgos dentro de la organización y establecer los objetivos que se quieren alcanzar.
• Identificar los riesgos que pueden afectar de forma negativa a la corporación.
• Analizarlos evaluando las causas y consecuencias que puedan existir, así como también conocer la probabilidad que se produzcan.
• Monitorear siguiendo un proceso de verificación, supervisión y observación.
• Auditorías de seguimiento, para evaluar el grado de implementación del pensamiento basado en riesgos.

Ventajas de la implantación de ISO 31000

Una organización que aplica las directrices de esta normativa conseguirá:

• Mejorar su eficiencia operativa.
• Tener una mejor gobernabilidad interna de la organización.
• Aumentar la confianza de partes externas.
• Mejorar su rendimiento y la sostenibilidad.
• Acentuar su calidad.
• Reducir los costes.
• La disminución o desaparición de incidentes inesperados.

Cualquier empresa que siga los principios de esta directiva en Gestión de Riesgos está comprometida con su mejora continua y se volverá más resiliente. Además, la organización verá un aumento del ROI (Retorno de la Inversión) y logrará crecer en su ámbito de negocio.

Máster en Gestión de Riesgos de EALDE Business School

Los conceptos para entender este estándar internacional ISO son estudiados en profundidad en el Máster en Gestión de Riesgos de EALDE Business School. Se trata de un máster online que capacita para gestionar integralmente el riesgo de cualquier tipo de compañía. El máster dispone de una metodología que permite compatibilizar la vida laboral y personal con los estudios.

Puedes solicitar más información del Máster en Gestión de Riesgos haciendo clic en el siguiente apartado:

Amplia información sobre la Gestión de Riesgos empresariales en el siguiente vídeo: