Qué es la norma ISO 31000 y para qué sirve

La norma “ISO 31000:2018. Gestión del Riesgo. Directrices” es una norma fundamental en Risk Management. Se trata de un estándar internacional que establece las directrices para que cualquier tipo de organización, sea cual sea su sector y tamaño, pueda considerar el riesgo como un elemento generador de valor.

Y es generador de valor porque ayuda a alcanzar los objetivos mediante un pensamiento basado en riesgo para la toma de decisiones. En este sentido, la ISO 31000 define el riesgo como «el efecto de la incertidumbre sobre la consecución de los objetivos».

Por tanto, todo profesional que quiera dedicarse a la gestión de riesgos debe saber para qué sirve esta normativa.

Estructura de la ISO 31000

El estándar ISO 31000 está estructurado en seis capítulos. Conocer su estructura y filosofía es el primer paso para entender la parte ejecutiva de la gestión del riesgo, el uso de técnicas y herramientas, y la forma de reportar para una mejor toma de decisiones.

Entre los capítulos de la norma se encuentran los de principios, marco de referencia y procesos.

1. Principios

La ISO 31000 se basa en 11 principios que encajan con toda la estructura y objetivos de la organización y que están relacionados con la implementación de la gestión del riesgo. Podemos considerar esta norma como una guía de buenas prácticas en Risk Management.

Algunos de sus principios clave incluyen:

1. Crea valor.
2. Está integrada en los procesos de la organización.
3. Forma parte de la toma de decisiones.
4. Trata explícitamente la incertidumbre.
5. Es sistemática, estructurada y adecuada.
6. Está basada en la mejor información posible.
7. Está hecha a medida.
8. Tiene en cuenta factores humanos y culturales.
9. Es transparente e inclusiva.
10. Es dinámica, iterativa y sensible al cambio.
11. Facilita la mejora continua de la organización.

2. Marco de referencia

El marco de referencia de la norma integra la gestión del riesgo en todas sus actividades y funciones significativas. Requiere el apoyo de las partes interesadas, particularmente de la alta dirección de la organización.

El desarrollo del marco de referencia implica integrar, diseñar, implementar, valorar y mejorar la gestión del riesgo a lo largo de toda la organización.

3. Proceso

El proceso de la ISO 31000 implica la aplicación sistemática de políticas, procedimientos y prácticas a las actividades de comunicación y consulta, establecimiento del contexto y evaluación, tratamiento, seguimiento, revisión, registro e informe del riesgo.

Además, la norma establece que el tratamiento del riesgo no solo debe centrarse en mitigar amenazas, sino también en identificar y potenciar riesgos positivos que puedan convertirse en oportunidades.

La organización que aplique los principios de esta norma estará preparada para afrontar los riesgos y responder a los cambios correctamente. No solo para mitigarlos y prevenirlos, sino también para convertirlos en factores que generen valor.

Evolución del enfoque de la Gestión de Riesgos
Visión tradicional	Visión integral
Riesgo: Probabilidad y consecuencia de un evento capazde producir una pérdida	Riesgo: Efecto de la incertidumbre sobre los objetivos

Cómo surge la actualización de 2018

La ISO 31000 ha sido elaborada por la Organización Internacional de Normalización (ISO). Tiene entre sus antecedentes guías como la ISO 72:2002. La primera versión se publicó bajo el título ISO 31000:2009.

Tras nueve años de implementación, se redactó y aprobó la versión de 2018, que sigue vigente en la actualidad.

El comité técnico internacional de normalización ISO/TC 262 Risk Management es el encargado de revisar y proponer los cambios en la norma.

A nivel nacional, cada país adopta la norma a través de organismos nacionales de normalización. En España, por ejemplo, es UNE el organismo que adoptó la norma como UNE-ISO-31000:2018.

¿A quién va dirigida la norma?

La ISO 31000 está dirigida a las personas que gestionan el riesgo en las organizaciones, estableciendo objetivos, tomando decisiones estratégicas y mejorando el desempeño.

Certificación ISO 31000: ¿Es certificable la principal norma en Risk Management?

A diferencia de otras normas ISO, la ISO 31000 no es certificable, ya que no se refiere a un sistema de gestión concreto. Así, la organización o empresa que aplique los principios de esta norma estará teniendo en cuenta el riesgo en sus procesos, pero no estará implementando ningún sistema de gestión.

Sin embargo, algunas organizaciones pueden obtener reconocimientos privados por cumplir con los principios de esta norma en gestión de riesgos.

Gestión de riesgos en empresas

Una empresa u organización enfrenta múltiples factores internos y externos que pueden afectar su actividad, sus objetivos e incluso llevarla al colapso.

Entre los riesgos más comunes encontramos:

• Riesgos financieros, como la inflación y la falta de liquidez.
• Riesgos legales y regulatorios.
• Riesgos ambientales y climáticos.
• Riesgos tecnológicos y cibernéticos.
• Riesgos operacionales y estratégicos.

Para hacer frente a los posibles riesgos de una forma efectiva, es necesario desarrollar e implementar un marco de trabajo para poder identificarlos, analizarlos y controlarlos. La normativa ISO 31000 en gestión de riesgos ha sido diseñada especialmente para la protección del valor de una empresa y que esta pueda lograr sus objetivos de forma eficaz.

Diagnosticar, analizar y tratar los riesgos que provienen de cambios tanto internos como externos es una forma de evitar ser sorprendidos por circunstancias desconocidas. El estándar internacional recoge las prácticas para gestionar el riesgo de forma eficiente en cualquier organización, pública o privada. La normativa ayuda a poder identificar, analizar, evaluar y disminuir los riesgos que puedan afectarla.

El proceso de implementación de la ISO 31000 sigue estos pasos:

1. Establecer el contexto externo e interno: Identificar factores culturales, políticos, económicos y sociales que influyen en los riesgos.
2. Definir los riesgos dentro de la organización y sus objetivos estratégicos.
3. Identificar los riesgos que puedan afectar la empresa.
4. Analizarlos: Evaluar causas, consecuencias y probabilidad de ocurrencia.
5. Monitorear y revisar periódicamente los riesgos detectados.
6. Realizar auditorías de seguimiento para evaluar la efectividad del sistema de gestión de riesgos.

Ventajas de la implantación de ISO 31000

Una organización que aplica la ISO 31000 consigue:

• Mejorar su eficiencia operativa.
• Optimizar su gobernanza interna.
• Aumentar la confianza de clientes e inversores.
• Mejorar su sostenibilidad y resiliencia.
• Reducir costes operativos.
• Minimizar incidentes inesperados.

Cualquier empresa que siga los principios de esta directiva en Gestión de Riesgos está comprometida con su mejora continua y se volverá más resiliente. Además, la organización verá un aumento del ROI (Retorno de la Inversión) y logrará crecer en su ámbito de negocio.

H2: Máster en Gestión de Riesgos de EALDE Business School

Los conceptos para entender este estándar internacional ISO son estudiados en profundidad en el Máster en Gestión de Riesgos de EALDE Business School.

Se trata de un máster online que capacita para gestionar integralmente el riesgo de cualquier tipo de compañía. El máster dispone de una metodología que permite compatibilizar la vida laboral y personal con los estudios.

Puedes solicitar más información del Máster en Gestión de Riesgos haciendo clic en el siguiente apartado:

Amplía información sobre la Gestión de Riesgos empresariales en el siguiente vídeo: