Material extraído de Revista A&G
Claudio Cassino
cassino@neogi.com.ar
Resumen:
Todas las empresas entienden y gestionan en mayor o menor medida los riesgos que enfrentan. Solo aquellas que completan metódica y sistemáticamente buenas prácticas de gestión del mismo tienen mayores probabilidades de protegerse a sí mismas y de tener éxito en el crecimiento de su negocio.
La norma ISO31000 es un estándar internacional, compatible y complementario a la familia ISO9000 que proporciona pautas y directrices para la creación de un marco de gestión eficaz para la identificación, evaluación y tratamiento de la incertidumbre (positiva o negativa) en el cumplimiento de la misión y objetivos de la organización. El desafío es la organización es la integración de estas directrices y buenas prácticas en todas sus operaciones diarias y en todos los estamentos de la práctica organizacional.
Abstract:
All companies understand and manage to a greater or lesser extent the risks they face. Only those who methodically and consistently complete good business management practices are more likely to protect themselves and be successful in growing their business.
The ISO31000 standard is an international standard, compatible and complementary to the ISO9000 family that provides guidelines and guidelines for the creation of an effective management framework for the identification, evaluation and treatment of uncertainty (positive or negative) in the fulfillment of the mission and objectives of the organization. The challenge is the organization is the integration of these guidelines and good practices in all its daily operations and in all levels of organizational practice.
Palabras clave
Riesgo; incertidumbre; ISO31000; Gestión del Riesgo; Administración del Riesgo
Keywords
Risk; uncertainty; ISO31000; Risk management; Risk Administration
Introducción.
El contexto mundial y las particularidades locales y regionales han llevado a las organizaciones a focalizar su atención en la gestión de riesgos, la que comienza a perfilarse como uno de los factores claves para el éxito.
La actividad de las empresas se desarrolla de un modo totalmente distinto a lo que fuera una o dos décadas atrás. La globalización de los negocios, la integración de los mercados, nuevas estrategias competitivas, el avance vertiginoso de la tecnología y el escrutinio más cercano de la comunidad generan una volatilidad empresarial nunca antes vista y riesgos no esperados en el pasado.
Cualquier empresa, cualquiera sea su tipo, magnitud o rubro, se encuentra expuesta a riesgos que pueden afectar el cumplimiento de sus objetivos y la supervivencia misma. La administración formal del riesgo permite a la misma identificar, cuantificar y valorar los riesgos que afronta por sus características intrínsecas, cambios internos, o su ausencia, proyectos y evolución del entorno. Conocidos y valorados los mismos pueden asumirse, y diseñarse estrategias o planes que permitan una respuesta predefinida limitando su impacto sobre el patrimonio, los intereses o las responsabilidades de la empresa y sus accionistas.
Antecedentes
En mayor o menor medida las empresas han desarrollado históricamente métodos que garanticen lo que en principio se definió como “control de pérdidas”. Motorizado por la integración de las empresas con los mercados de capitales, el mercado de aseguradoras y eventos históricos particulares comenzaron la evolución de estándares “comúnmente aceptados” y/o “world-class” desde dos perspectivas complementarias:
a.- Control Interno
Destinada a evitar los errores administrativos y fraudes financieros. Estas primeras líneas de trabajo derivaron en el desarrollo de todo un andamiaje teórico conceptual y herramientas que claramente muestran una comunión entre un enfoque de la contabilidad forense y aspectos metodológicos típicos de la ingeniería. Así se pueden destacar:
- SAS1 (1972) Statements on Auditing Standards – American Institute of Certified Public Accountants
- ISA 6 (1981) International Standards on Auditing
- COSO I (1992) Committee of Sponsoring Organizations of the Treadway Commission y Price Waterhouse Coopers
- COCO III (1995) Canadian Control Committee
- Cadbury (1992) UK Cadbury Committee
- SOA (2002) Sarbanes Oxley Act
b.- La gestión del riesgo.
Resultante de la evolución lógica de los anteriores al ámbito general de la organización tanto en los aspectos técnicos y operativos, faceta que ya había madurado durante décadas en distintos sectores definidos, como así también en un concepto amplio de la empresa. El desarrollo se da a partir de la unificación de los múltiples criterios específicos, tomando criterios de mejora continua, identificación y prevención de incertidumbres, riesgos y sus consecuencias.
- AS/NZS 4360 (1995) Standards Australia/Standards New Zealand constituye el primer abordaje integral del tema, que se materializa en el Risk Management Guidelines Companion Book del 2004.
- BS31100 (2008) Código de prácticas para la Administración de Riesgos7 del Grupo BSI8
- ISO 31000 (2009) International Organization for Standardization
- ISO 9001 (2015) A partir de la versión 2015 su enfoque vira hacia la mejora continua y prevención de riesgos como herramientas principales de la gestión de calidad total.
La Norma ISO31000 – Unificación y nivelación de Criterios
Los distintos estándares y normas internacionales, particularmente los técnico-operativos, poseían dos problemas en el terreno práctico: el primero, que casi todos estaban dirigidos a empresas de sectores específicos, lo cual reducía su impacto y extensión; y el segundo, que había una notoria disparidad de criterios a la hora de desarrollarlos.
Esto motivó a que ISO, International Organization for Standardization, luego del éxito global de las normas de la familia 9000, abordara la gestión de riesgos de un modo integral. Finalmente, esto se materializa en 2009 con la primera versión de la familia 31000 y posteriormente perfecciona su compatibilidad con las ISO9000:2015, a partir de la versión 2018.
¿Qué es la ISO31000?
Se trata de un estándar que puede aplicarse a cualquier tipo de organización, más allá de su naturaleza, actividad, escenario comercial o tipo de producto, entre otros factores.
Aunque es una norma no certificable, el estándar busca minimizar, gestionar y controlar cualquier tipo de riesgo, más allá de su naturaleza, causa, origen o grado de incidencia. Esto se logra a través de la integración del Sistema de Gestión de Riesgos a la estrategia de cada organización, así como a sus procesos, políticas y cultura.
De hecho, no es una norma pensada para circunstancias concretas, sino que busca una aplicación continua y permanente en el tiempo. De esta manera, beneficia el grueso de las acciones, decisiones, operaciones, procesos, funciones, proyectos, servicios y activos que tengan lugar en las empresas.
La familia ISO 31000 en la actualidad está formada por:
- ISO 31000:2018 – Gestión de Riesgos – Principios y Directrices
- ISO/IEC 31010 – Gestión de Riesgos – Evaluación del Riesgo – Evaluación técnica del riesgo
- ISO/TR 31004:2013 – Gestión de Riesgos – Guías para la Implementación de ISO 31000
- ISO Guide 73:2009 – Gestión de Riesgos – Vocabulario de Gestión
Un punto trascendente de esta norma es la incorporación de un nuevo concepto de “riesgo”. Efectivamente, hasta ese momento el riesgo se trataba como la posibilidad de que ocurra un suceso que genere un detrimento en los objetivos. A partir de la aparición de la familia de normas ISO31000 el mismo se define como la incertidumbre en los objetivos. El nuevo abordaje considera tanto a las tradicionales situaciones negativas u amenazas (“downside risk”) como a las situaciones positivas de riesgo u oportunidades (“upside risk”), en una clara alineación con las ISO9000:2015.
Estos objetivos pueden estar relacionados con diferentes actividades de la organización, desde iniciativas estratégicas hasta sus operaciones, procesos y proyectos, y se reflejan en términos sociales, ambientales, tecnológicos, de seguridad y relacionados con la seguridad, comerciales, financieros y de medidas económicas, así como de impactos sociales, culturales, políticos y de reputación.
Gestión del Riesgo
Mientras todas las organizaciones gestionan el riesgo en algún grado, esta norma establece una serie de principios que se deben satisfacer para que la gestión del riesgo sea eficaz. La misma recomienda que las organizaciones desarrollen, implementen y mejoren de manera continuada un marco de trabajo cuyo objetivo sea integrar el proceso de gestión del riesgo en los procesos de gobernanza, que define como el sistema por el cual se toman e implementan decisiones con el fin de lograr objetivos, de estrategia y de planificación, de gestión, y de elaboración de informes, así como en las políticas, los valores y en la cultura de toda la organización, en total complementación con las ISO9000:2015.
La gestión del riesgo se puede aplicar a la totalidad de una organización, a todas sus áreas y niveles principales, en todo momento, así como a las funciones, los proyectos y las actividades específicas.
Aunque la práctica de la gestión del riesgo se ha desarrollado a lo largo del tiempo y en numerosos sectores con objeto de satisfacer diversas necesidades, la adopción de procesos coherentes dentro de un marco de trabajo exhaustivo puede contribuir a asegurar que el riesgo se gestione de una manera eficaz, eficiente y coherente a través de la organización. El enfoque genérico que se describe en esta norma proporciona los principios y las orientaciones para gestionar cualquier forma de riesgo de una manera sistémica, transparente y fiable, dentro de cualquier alcance y de cualquier contexto.
Estructuración de la norma ISO31000
Esencialmente la norma se divide en tres secciones básicas:
- Principios y directrices: En este primer apartado, se explica no sólo el alcance de la misma, sino que se detallan las prácticas básicas que debe tener en cuenta cualquier organización dispuesta a implementar un Sistema de Gestión de Riesgos.
- Marco de Trabajo: En este segundo apartado, el objetivo es trazar un marco de trabajo de gestión que proporcione las bases y las disposiciones que permitirán su integración a todos los niveles de la organización.
C.- Proceso de Implementación Sistemática: La norma ISO 31000 tiene un enfoque de procesos. La implementación de un Sistema de Gestión de Riesgos, por tanto, debe seguir una serie de pasos para que sea eficaz y cumpla con los objetivos trazados al inicio.
La ISO31000 se complementa con las normas:
- ISO Guide 73 Risk management – Vocabulary
- ISO/IEC 31010:2019 Risk management – Risk assessment techniques, que proporciona orientaciones sobre la selección y aplicación de técnicas útiles para la evaluación del riesgo. Se trata, por tanto, de una norma más práctica, cuyo conocimiento resulta imprescindible para cualquier risk manager.
- ISO/TR 31004:2013 Risk management — Guidance for the implementation of ISO 31000
Los 11 principios de gestión de riesgos
- «La gestión del riesgo crea valor y lo reserva». Ésta, tangiblemente contribuye al logro de los objetivos y a mejorar el desempeño de la organización, a través de la revisión de su sistema de gestión y sus procesos. Se trata de cambiar el enfoque para visibilizar el mundo de eventualidades potenciales en lugar de hacer foco sobre No-Conformidades ocurridas únicamente. Es un gran paso para el mundo de la gestión.
- «La gestión del riesgo se integra en los procesos organizacionales»: debe integrarse en el sistema de gestión existente tanto a nivel estratégico como operativo.
- «La gestión del riesgo está integrada en la decisión de hacer del proceso.»: es una ayuda de decisión para las opciones discutidas, para establecer prioridades y seleccionar las acciones más apropiadas
- «La gestión del riesgo aborda explícitamente la incertidumbre». Mediante la identificación de riesgos potenciales, la organización puede aplicar la reducción de herramientas y el riesgo de financiamiento con el objetivo de maximizar las posibilidades de éxito y minimizar la pérdida de oportunidades.
- «La gestión del riesgo es sistemática, estructurada y utilizada en forma oportuna». Los procesos de esta gestión deben ser coherentes en toda la organización para asegurar la efectividad, relevancia, consistencia y fiabilidad de los resultados.
- «La gestión del riesgo se basa en la mejor información disponible»: para ser eficaz, es importante considerar y entender toda la información disponible y relevante para una actividad, reconociendo las limitaciones de los datos y los modelos utilizados
- «La gestión del riesgo es conveniente»: ésta se debe adaptar según los recursos disponibles – recursos de personal, finanzas y tiempo – así como su ambiente interno y externo
- «La gestión del riesgo integra factores humanos y culturales»: la misma debe reconocer la contribución de los individuos y los factores culturales para el logro de los objetivos de la organización.
- «La gestión del riesgo es transparente y participativa». Al involucrar a las partes interesadas pertinentes, interna y externa, durante el proceso de gestión, la organización reconoce la importancia de la comunicación y consulta en las etapas de identificación, evaluación y tratamiento de los mismos.
10 «La gestión del riesgo es dinámica, iterativa y sensible para cambiar»: El entorno competitivo requiere que la organización sea flexible para adaptarse al contexto interno y externo, especialmente cuando nuevos riesgos aparecen, ciertos riesgos se cambian, mientras que otros desaparecen.
- «La gestión del riesgo facilita la mejora continua de la organización». Las organizaciones con una madurez en la gestión de riesgo son aquellas que invierten a largo plazo y demuestran la normal realización de sus objetivos.
Marco de Trabajo
La efectividad de la administración/gestión de riesgos dependerá de su integración en la gobernanza de las organizaciones, incluyendo la toma de decisiones. Esto requiere el apoyo de las partes interesadas, particularmente de la alta dirección.
El desarrollo del marco de referencia implica integrar, diseñar, implementar, evaluar y mejorar la administración/gestión de riesgos a lo largo de toda la organización. La Figura 1 ilustra los aspectos relevantes del marco de referencia.
Las organizaciones debieran evaluar sus prácticas y procesos existentes de la administración/gestión de riesgos, evaluar cualquier brecha y abordar estas brechas en el marco de referencia.
Los componentes del marco de referencia y la manera en la que trabajan juntos, debieran adaptarse a las necesidades de las organizaciones.
Liderazgo y compromiso: La alta dirección y los órganos de supervisión debieran asegurar que la misma esté integrada en todas las actividades de la organización y debieran demostrar el liderazgo y compromiso:
Integración de la administración/gestión de riesgos: depende de la comprensión de las estructuras y el contexto de las organizaciones.
Diseño del marco de trabajo que permita la adecuada gestión del riesgo:
- Comprensión de las organizaciones y su contexto
- Articulación del compromiso con la administración/gestión de riesgos
- Asignación de roles, autoridades, responsabilidades y obligación de rendir cuentas en la organización
- Asignación de recursos
- Establecimiento de la comunicación y la consulta
Implementación del marco de referencia para la administración/gestión de riesgos mediante:
- Desarrollo de un plan apropiado incluyendo plazos y recursos
- Identificación de dónde, cuándo, cómo y quién toma diferentes tipos de decisiones en toda la organización
- Modificación de los procesos aplicables para la toma de decisiones, cuando sea necesario
- Aseguramiento de que las disposiciones de las organizaciones para administrar/gestionar el riesgo sean claramente comprendidas y puestas en práctica.
Evaluación de la efectividad del marco de referencia de la administración/gestión de riesgos, involucra la medición periódica del desempeño del mismo con relación a su propósito, sus planes para la implementación, sus indicadores y el comportamiento esperado
Mejora Continua. Las organizaciones debieran realizar el seguimiento continuo y adaptar el mencionado marco de referencia en función de los cambios internos y externos. Adicionalmente, las mismas debieran mejorar continuamente la idoneidad, adecuación y efectividad del mismo y la manera en la que se integra el proceso de la administración/gestión de riesgos.
Proceso
El proceso de gestión del riesgo debería:
- ser una parte integrante de la gestión;
- integrarse con la cultura y en las prácticas; y
- adaptarse a los procesos de negocio de la organización.
El proceso de gestión del riesgo comprende las actividades siguientes (ver Figura 2):
Comunicación y Consulta con las partes interesadas internas y externas (“stakeholders”) debiera ser una constante en todo el proceso a fin de plasmar sus inquietudes, necesidades y valores en la percepción del riesgo y en la toma de decisiones. Esto hace pertinente el desarrollo temprano de los mecanismos de nivelación de información.
Establecimiento del Contexto. La organización articula sus objetivos, define los parámetros externos e internos a tener en cuenta en la gestión del riesgo, y establece el alcance y los criterios de riesgo para el proceso en concordancia con el marco de trabajo antes definido y particularmente los alinea con la evolución de un entorno interno y externo cambiante.
Evaluación del riesgo: es el proceso global de identificación, de análisis y de evaluación del mismo y constituye el elemento medular de esta norma. La Norma ISO/IEC 31010 es la herramienta aplicable específicamente para este subproceso y proporciona directrices para la selección y aplicación de técnicas sistemáticas para la evaluación del riesgo. Abarca tres fases consecutivas:
- Identificación del riesgo, Es esencial realizar una temprana identificación exhaustiva, ya que, lógicamente, un riesgo que no se identifica en esta etapa no se incluirá en análisis posteriores. Es importante identificar los riesgos asociados al hecho de no buscar una oportunidad.
- Análisis del riesgo implica desarrollar una comprensión del mismo, a través de la consideración de sus causas y sus fuentes, de sus consecuencias positivas y negativas, y la probabilidad de que estas consecuencias puedan ocurrir, así como otros atributos del riesgo.
- Valoración del riesgo involucra el comparar el nivel de riesgo encontrado durante el proceso de análisis con los criterios de riesgo establecidos cuando se consideró el contexto. En base a esta comparación, se generan los inputs para la toma de decisiones, determinando aquellos a tratar y la prioridad para implementar el tratamiento, de acuerdo con requisitos legales, reglamentarios y de otros tipos.
Es importante notar que en esta etapa de Evaluación se abre la puerta a otros análisis sistemáticos específicos de determinado tipo de riesgo y/o sectores, por ejemplo, los DHA (Dust Hazard Analysis) de la NFPA61 o NFPA652, COMAH, etc., adicionalmente a las 32 metodologías de análisis expresamente descriptas en la ISO31010.
Tratamiento del riesgo: Las opciones de tratamiento del riesgo no se excluyen necesariamente unas a otras, ni son apropiadas en todas las circunstancias. Las opciones pueden incluir lo siguiente:
- evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el riesgo;
- aceptar o aumentar el riesgo a fin de perseguir una oportunidad;
- eliminar la fuente del riesgo;
- modificar la probabilidad;
- modificar las consecuencias;
- compartir el riesgo con otras partes (incluyendo los contratos y la financiación del riesgo); y
- retener el riesgo en base a una decisión informada.
Monitoreo y revisión se deberían planificar en el proceso de tratamiento del riesgo y someterse a una verificación o una vigilancia regular. Esta verificación o vigilancia puede ser periódica o eventual.
Referencias:
- Bueno G., Correa C., Echeverry J., Sauleda L. (2010) – “Administración de riesgos – una visión global y moderna”
- Cuello R., Pallares L., Wehdeking E., (2008) – “Aplicación del Estándar Australiano de Administración del Riesgo AS/NZS 4360:1999”
- Gómez, H. B. (2006). “Esbozo de la auditoría estatutaria y el control interno en las organizaciones privadas”
- Norma ISO 31000El valor de la gestión de riesgos en las organizaciones (2010) Isotools.org
- Norma Argentina IRAM-ISO31000:2015 Gestión del Riesgo
- Implantación, Mantención y Actualización del Proceso de Gestión de Riesgos en el Sector Público (2016) Ministerio Secretaría General de la Presidencia de Chile
- Enterprise Risk Management – Integrated Framework COSO (2004), the Committee of Sponsoring Organisations of the Treadway Commission
- AS/NZS Standard AS 4360 Risk management (AS/NZS 4360:2004) from Standards Australia and Standards New Zealand
- BSI 31100 risk management: Code of practice (BS 3110:2011) British Standards Institution
- ISO 31000 2018 – Risk Management – Principles and Guidelines