=
Vol. 38 (Nº 59) Año 2017. Pág. 8
Edmundo R. LIZARZABURU 1; Gabriela BARRIGA Ampuero; Luis NORIEGA 2; Luciano LOPEZ 3; Patricia Y. MEJÍA 4
Recibido: 05/08/2017 • Aprobado: 05/09/2017
2. La Gestión de Riesgos, como gestionarlo
3. Gestión de riesgo empresarial
4. Propósito y aplicación del ISO 31000
RESUMEN: El presente documento de investigación busca destacar la importancia de la administración de riesgos en las organizaciones y como estas deben incorporar una guía de gestión de riesgos, siguiendo los lineamientos de la guía ISO 31000, con la finalidad de definir conceptos importantes tales como cultura de riesgos, apetito al riesgo e indicadores de gestión de riesgos, los cuáles van a permitir gestionar mejor sus organizaciones. |
ABSTRACT: This research paper seeks to highlight the importance of risk management in organizations and how these should incorporate a risk management guide, following the guidelines of the ISO 31000 Guide, in order to define concepts Important such as risk culture, risk-appetite and risk-management indicators, which will enable them to better manage their organizations. |
En la actualidad, la guía ISO 31000 enfocada en la gestión de riesgos, es utilizada como una herramienta destinada a proporcionar a las empresas criterios y estándares que permiten una más eficiente de los eventos de riesgo y procesos, efectuado en las diversas fases organizacionales, tales como estratégicas y operativas. En sus orígenes, el campo de la gestión de riesgos tiene sus orígenes no solo en la industria de seguros sino hace con la misma humanidad, ya que está relacionado a todo acto, actividad o tareas que es realizada. En la década de 1980, la administración del riesgo en las compañías manufactureras se hizo con la adaptación de la administración de la calidad total 5. Sin embargo, la importancia de la aplicación del manejo del riesgo en entidades financiera fue reconocida por su importancia en la década de los 90s, a partir de aquel momento se empezó a intentar la gestión del riesgo en otros ámbitos no relacionados a las finanzas.
Es importante indicar que existen muchas definiciones de qué es el riesgo, algunos autores mencionan la probabilidad o grado de certeza del cumplimento de los objetivos en la definición de qué es riesgo. Ante esto, Knight (2012) 6 nos menciona que todas las compañías, desde micro hasta grandes, tienen que lidiar con factores exógenos y endógenos que aumentan la incertidumbre para lograr sus objetivos 7. Este efecto de carencia de certeza es lo que denomina riesgo y es parte de todas las actividades.
Siguiendo con el concepto de riesgos, citando la norma ISO 31000 ésta “(...) desvía el énfasis de las preocupaciones pasadas con la posibilidad de un evento (algo sucede) a la posibilidad de un efecto y, en particular, un efecto sobre los objetivos” 8.
Así mismo, “Las organizaciones de todo tipo y tamaño enfrentan factores e influencias, internas y externas, que crean incertidumbre sobre si ellas lograrán o no sus objetivos. El efecto que esta incertidumbre tiene en los objetivos de una organización es el riesgo” 9. Por esta razón, anteriormente a la norma, todas las instituciones administraban el riesgo a diferentes grados. Ahora con este estándar internacional, se establece un conjunto de principios con el objetivo de que la gestión d riesgos sea efectiva. Y por eso se recomienda que las instituciones impulsen, mejoren y perfeccionen continuamente un marco de actividades que ayudará integrar el proceso de gestión de riesgo en todas las demás áreas como son la sostenibilidad del negocio, la gestión de calidad y la protección de la información. Sobre su naturaleza, Olechowski et al., 2012, precisan que la gestión de riesgos se considera cada vez más como un medio para mejorar la probabilidad de éxito en la tarea compleja, multifuncional y desafiante de gestionar proyectos de ingeniería y desarrollo de productos 10.
En general, el objetivo de este estándar ISO 31000 es complementar los procesos de administración del riesgo tanto en procesos estratégicos, de planificación, de gestión, de creación de informes y en las directrices, y la cultura de toda la organización. Corroborando lo dicho anteriormente, the Global Platform for ISO 31000 (2009) señala que la ISO 31000 es adoptada por más de 60 países y respaldada por organizaciones internacionales ya que es el estándar líder en la gestión de riesgos en el mundo. En la actualidad este estándar – guía viene siendo revisad, a la fecha es el actual y se espera que para el 2018 o 2019 se pueda tener una nueva versión que incorpore más aspectos de control interno, la reputación empresarial y el manejo de los grupos de interés
En ISO, en su guía ISO 31000 del 2009 precisa al riesgo como “el efecto de la incertidumbre en la consecución de los objetivos”. Analizando esta definición brindada por la Norma, se puede mencionar que la misma es una incertidumbre ya que puede que ocurra, como que puede que nunca ocurra. Por otro lado, resalta la importancia del riesgo y su inminente gestión ya que puede traerle a la organización un efecto impredecible (tanto positivo como negativo). Por último, este efecto mencionado anteriormente recaerá en los objetivos fijados por la organización.
“La incertidumbre surge de aquellos factores e influencias internas y externas que no controla por completo, pero que pueden hacer que la organización no logre sus objetivos o puede causar demoras” 11. En otras palabras, el riesgo es el potencial incumplimiento de los objetivos que propone alcanzar la empresa u organización. Al no cumplir los objetivos la empresa se encuentra en una situación no deseable y ha fracasado en su desempeño. Cabe recalcar que los objetivos sirven como indicadores para medir que tan bien le está yendo a la empresa.
Aven, nos indica que una idea básica de la definición de riesgo ISO 31000 es que la incertidumbre reemplaza la probabilidad en la definición de riesgo 12. Esto representa una mejora en comparación con las anteriores definiciones de riesgo basadas en la probabilidad, ya que no debemos asociar el concepto de riesgo con uno entre las muchas maneras de medir o describir el riesgo.
Así mismo, Hopkin (2017) , en su libro “Fundamentals of Risk Management” nos brinda 3 categorías que dividen el riesgo, la cual también está definida en la Guía 73. Dichas categorías son las siguientes 13:
Riesgos peligrosos (o puros): son aquellos que sólo pueden resultar en resultados negativos para la organización y pueden ser considerados como riesgos operacionales o asegurables ya que la organización puede protegerse ante un eventual suceso.
Riesgos de control (o incertidumbre): estos son asociados con la gestión de proyectos y dan cabida a la incertidumbre sobre qué resultado será consecuente ante una situación. Usualmente, la organización para aseverar que los resultados de las actividades empresariales estén dentro de un rango deseado, llevará a cabo la gestión de los riesgos de control.
Riesgos de oportunidad (o especulativos): aquellas que asume la organización para lograr rendimientos positivos, especialmente riesgos de mercado o comerciales. En general, toda organización tendrá un apetito específico para la inversión en estos ya que mientras más riesgo exista, más beneficio brindará.
Nisipeanu, nos brindan una serie de estrategias de cómo una empresa puede controlar el riesgo 14:
Eliminando la situación en la acción de riesgos
Limitar el efecto en las actividades de la institución (eliminando o trasladando riesgo).
Transferencia de riesgos a otra organización:
Reducir la posibilidad de ocurrencia de un siniestro.
Planes secundarios a considerar en caso de ocurrencia de un riesgo.
Control de riesgos: ver si la probabilidad de ocurrencia cambia con el tiempo
La prevención del riesgo: eliminar la causa que crea el problema (sólo se puede utilizar en ciertas circunstancias)
Purdy (2010) 15 menciona estos puntos como formas de minimizar el riesgo, aunque algunas alternativas tienen desventajas grandes 16:
La Comisión Treadway define la Gestión de Riesgo Empresarial (Enterprise Risk Management), de esta forma 17:
“(...) un proceso afectado por la junta directiva, administración y personal de una entidad, aplicado en el establecimiento de la estrategia a lo largo de la organización, diseñado para identificar eventos potenciales que puedan afectar a la entidad y gestionar el riesgo para que se encuentre dentro del perfil de riesgo establecido que proporcione seguridad razonable en la consecución de los objetivos de la organización” 18
Comisión Treadway nos enlistan conceptos fundamentales de la Gestión de Riesgo Empresarial (ERM) y su definición se muestra como 19:
Si bien es cierto en el libro también nos menciona que la definición involucra diferentes conceptos que son fundamentales para el manejo en el riesgo de las empresas y esto es fundamental para la aplicación en las diferentes organizaciones. Esta base tiene mucha interconexión con el cumplimiento de metas.
Así, siguiendo la estructura de los 3 tipos de riesgo brindado por Hopkin, existe un nivel de sofisticación en la administración del riesgo por parte de la organización el cual lo podemos apreciar en la siguiente gráfica 20:
Figura 1
Nivel de sofisticación en la gestión del riesgo
Fuente: Hopkin (2010) p.44
Esta figura muestra un enfoque mejorado para la gestión del riesgo. Pero hay que dar conciencia que existe un gran peligro de que las organizaciones tomen como una obsesión la gestión de riesgos hasta el punto que deformen sus operaciones al darle una excesiva atención y preocupación. Los riesgos también pueden ser clasificados en los llamados "cisnes blancos" y "cisnes negros” 21:
Los denominados “cisnes blancos” representan riesgos fácilmente cuantificables y sujetos a la "ley de grandes números" y reversión media, los cuales se prestan fácilmente al modelo probabilístico usando como base datos históricos o utilizando el conocimiento basado en la experiencia compartida dentro de la organización. En contraste, los denominados “cisnes negros” son por naturaleza impredecible, singulares, eventos de alta volatilidad con un impacto potencialmente cambiante al cual no se puede aplicar el modelado probabilístico y es en estos momentos en el cual el manejo de riesgo es importante para poder asegurar la supervivencia empresarial.
El estándar ISO 31000 es utilizable en todo tipo de riesgos ya sea financiero, de instalaciones, de operaciones, sistémico entre otros.
El ISO 31000 está basado en el cumplimento de objetivos propuestos por los tomadores de decisión. Knight señala que este enfoque hacia las metas es indispensable para que la administración de riesgos empresariales (Corporate Risk Management) se realice mediante un lenguaje y un proceso comunes en toda la corporación. Por lo tanto, la comunicación a nivel organizacional es un elemento fundamental para el buen manejo del riesgo empresarial 22.
El procedimiento de administración de riesgos, contenido en las reglas ISO 31000, sigue el conjunto usado por la norma australiana y neozelandesa AS / NZS 4360, que consiste en 23:
Los objetivos de la norma para ayudar a toda organización que la implemente son los siguientes:
De esta manera, Castro menciona que la ISO 31000 permite a la toda corporación que la implemente 24:
La ISO 31000 está estructurada en tres elementos claves para una gestión de riesgos efectiva, transparente, sistemática y creíble. Dichos elementos son:
Cañas nos muestra 4 metodologías tomadas de referencia para administrar el riesgo 25:
Provee una estructura que hace factible realizar un programa de gestión de riesgos a mayor detalle a un grado sub-organizacional.
Elementos principales del proceso:
Figura 2
Estándar Australiano para la Administración de Riesgos
Brinda un enfoque estructurado con el objetivo de ubicar recursos de auditoría escasos en las operaciones de la compañía bancaria.
Su objetivo es ganar una cobertura de auditoría máxima - un proceso de evaluación de riesgo.
Proceso general de evaluación:
Definido Top Down & Bottom Up
Desarrollada en los niveles y etapas:
Figura 3
Metodología para la Gestión de Riesgos Operacionales.
Fuente: Cañas, L., 2009, (p.17) 26
El modelo DE-ARISDE “(…) fortalece el Nivel de Integración del Sistema de Dirección de la Empresa (NISDE) a través del desarrollo de la capacidad de prevención estratégica en las empresas, principalmente los riesgos que afecta la agregación de valor, desde el proveedor hasta el cliente final a partir del análisis de las relaciones externas e internas de las empresas objeto de estudio 27.
Por ello en este caso, los 4 marcos teórico son: orientación estratégica, teoría del riesgo y su gestión, orientación del proceso y perspectiva sistémica.
Principios de la herramienta:
Figura 4
Implementación del modelo DE-ARISDE
Fuente: Bolaños (2016), p.346
Adicionalmente, para entender mejor la estructura de la Norma, esta cuenta con 5 cláusulas y 1 apéndice que nos menciona Leitch (2010) 28:
Cláusula 1: Alcance de la Gestión de riesgos
Cláusula 2: Términos y definiciones de la Gestión de riesgos
Cláusula 3: Los 11 principios de la Gestión de riesgos
Cláusula 4: Marco de Trabajo de la Gestión de riesgos
Cláusula 5: Proceso de la Gestión de riesgos
Apéndice A: Atributos de mejoramiento de la Gestión de riesgos
Por otro lado, esta definición también se ha incluido a:
ISO 27001 en el tópico de seguridad informativa
ISO/IEC 31010 en el tópico de evaluación técnicas del riesgo
ISO Guide 73:2009 en un glosario de la administración de riesgo
Olechowski (et al., 2016) menciona que los once principios son el foco de esta norma y si los principios son cumplidos (conforme a las sugerencias de la norma ISO), conducirán a una gestión eficaz del riesgo. Dichos principios son los siguientes 29:
Cuadro 1
Los 11 Principios de la Gestión de Riesgo según ISO 31000:2009.
|
Principio |
Descripción |
1 |
Crea y protege valor para una empresa |
Ayuda a optimizar el desempeño de la compañía, revisando procesos y la administración de la misma ayudando así al cumplimiento de objetivos. |
2 |
Se integra en los procesos organizacionales |
Debe convertirse parte de procesos de planificación tanto operativos y estratégicos. |
3 |
Integrada a la toma de decisiones |
Para tomar decisiones con la información oportuna, identificando prioridades y acciones más apropiadas. |
4 |
Explícita frente a la incertidumbre: |
Al identificar los riesgos con el objetivo de incrementar las posibilidades de ganancia y reducir las probabilidades de pérdida |
5 |
Es sistemática, estructurada y utilizada en forma oportuna |
Para asegurar eficiencia, consistencia y confiabilidad de resultados |
6 |
Basado en la mejor información disponible |
Es relevante contemplar y comprender toda la información disponible para cada tarea, identificando los límites en los datos y los modelos propuestos. |
7 |
Es adaptativo |
De acuerdo a los recursos disponibles (humanos, financieros y temporales). Asimismo, su ambiente interno y externo |
8 |
Integra factores humanos y culturales |
Debe reconocer la contribución de ambos en el cumplimiento de objetivos. |
9 |
Es transparente e incluyente |
Involucrando stakeholders, identificando, analizando y monitoreando el riesgo mediante la comunicación y consultoría. |
10 |
Es dinámica, reiterada y sensible a los cambios. |
Es necesario que sea flexible dado al entorno cambiante donde operan las organizaciones donde los riesgos aparecen, cambian y desaparecen. |
11 |
Facilita la mejora continua de las organizaciones |
Organizaciones maduras invierten a largo plazo |
Fuente: ISO, I. (2009).Cláusula 3.
Después de brindar una definición concisa de cada uno de los principios (Cuadro 2), se explicará la aplicación de cada uno de los mismos en la implementación 31 de la norma:
El principio de crear y proteger valor para la empresa se logra a través de identificar y abordar a los factores externos tanto como los internos para permitir el cumplimiento de los objetivos establecidos. Al lograr cumplir los objetivos establecidos se espera obtener utilidades.
Se integra en los procesos organizacionales: el riesgo afecta a toda la organización ya que los factores externos son incontrolables por lo cual existen 2 medidas para la aplicación de la gestión de riesgos los cuales son. Mediante:
En la medida que forma parte en los procesos organizacionales el principio de ser integrada en las decisiones ya que la administración de riesgos apoya en el establecimiento de prioridades y seleccionar la alternativa más apropiada para poder cumplir con los objetivos establecidos.
Al aplicar el principio de que La gestión del riesgo aborda explícitamente la incertidumbre se logra identificar los riesgos potenciales de tal forma que se logra reducir la incertidumbre por la eliminación de actividades riesgos y optimizar las actividades que generan y crean valor.
Es sistemática, estructurada y utilizada en forma oportuna, este principio se aplica bajo 3 enfoques: El enfoque consistente (mantener objetivos coherentes con la misión de la empresa de tal forma que genera confianza), El enfoque puntual (la aplicación de la gestión de riesgo se aplica al momento óptimo de tal forma que no se pierde oportunidades ni se requiere un costo de alteración de planes), el enfoque estructurado ( “...enfoque ascendente o descendente, con el fin de abordar el nivel apropiado de gestión del riesgo más eficaz” (Casares, I. & Lizarzaburu, E. ,2016,p.41)
La administración del riesgo se fundamenta en la mejor información disponible lo cual se aplica mediante la selección cuidadosa de la información basada en la fiabilidad de la fuente, la periodicidad de la información considerando los factores limitantes como el tiempo y la falta de información empírica. Dichas restricciones llevan a la empresa a buscar otros indicadores como datos históricos y opinión de expertos con la finalidad de reducir la incertidumbre y el riesgo asociado.
Es adaptativo por lo que el ISO 31000 se aplica a todo tipo de entidad y riesgo potencial. El marco de referencia por lo tanto es sumamente orientado a las necesidades de la organización según la cultura organizacional, su demográficas y otros factores que hacen que las empresas sean únicas.
La administración del riesgo integra los variables humanas y culturales lo cual se aplica mediante la consideración de factores sociales, culturales, capacidad del personal, factores individuales de las personas como sus creencias y opiniones. Al asignar los objetivos se considera la capacidad y objeciones que tienen los colaboradores de tal forma que se maneja el riesgo de los factores humanos desde todos los niveles organizacionales.
Es transparente e incluyente: Al implicar a los Stakeholders, durante el proceso de administración del riesgo cada grupo de interés se puede sentir representado. La compañía reconoce la relevancia de la comunicación y consulta con los Stakeholders durante las fases de identificación, evaluación y tratamiento de riesgos lo cual crea confianza y minimiza el riesgo.
Es dinámica, reiterada y sensible a los cambios.: mediante el régimen de seguimiento y revisión se aplica este principio ya que los cambios tantos internos como externos están sometidos al seguimiento por lo cual se requiere una revisión como respuesta a los cambios.
La administración del riesgo aporta a la mejora continua de la compañía se logra mediante el cumplimento de los objetivos establecidos, cuyos han sido sometidos a un análisis riguroso para minimizar el riesgo e incertidumbre. los objetivos que se han logrado cumplir pueden ser mejoras directas hacia el desempeño de la organización.
Castro, resume el enfoque de trabajo de la Norma ISO 31000 la cual está estructurado en 3 elementos claves para la administración efectiva de los riesgos 32.
Los principios de la administración de riesgo: esta norma cuenta con principios que ayudan a una eficaz gestión de riesgo. Dichos principios ayudan a destacar la importancia que tiene la administración de riesgos con la organización y para decidir.
El marco de trabajo (framework) para la administración de riesgo: para que una administración del riesgo sea eficaz, la implementación debe ser integral, debe incluir a toda la organización y sus procesos, y su cultura.
El proceso de la administración de riesgo: para la buena gestión se establecen diversas fases:
La primera de ella fue descrita anteriormente, este punto describe el segundo elemento clave para la gestión: El marco de trabajo (framework) para la administración de riesgo.
Figura 5
ISO31000:2009 Clausula 4: Marco de trabajo
(framework) para la Gestión de Riesgo.
Fuente: Castro M. (2010), (p.3)
Según Castro M., estas son las etapas del marco de trabajo 33:
“El proceso de gestión de riesgo debería ser una parte integral de la gestión y estar adaptado al proceso de negocio de la organización, recogiendo la cultura y prácticas” 34. Siguiendo el enfoque de trabajo de la Norma ISO 31000,el tercer elemento clave citado como el proceso de gestión de riesgos tiene tres etapas 35:
Establecimiento del contexto 36:
Definición de objetivos y metas de las actividades
Definición de métodos utilizados en la evaluación de riesgos.
Concretar la forma y el rendimiento cómo se evaluará el nivel de eficacia en la gestión de riesgo.
Establecer responsables en el proceso de gestión de riesgo.
Reconocer la relación con otros posibles proyectos
Identificación de los riesgos: hacer una lista de riesgos nos puedan ayudar a mejorar, prevenir, crear el logro de los objetivos.
Análisis de riesgo: se consideran las causas y fuentes de riesgo. las consecuencias del riesgo se podrán determinar con los resultados del modelamiento del análisis.
Evaluación de los riesgos: determinar qué riesgos se deben tratar y tener prioridad. Las decisiones de tratamiento se toman de acuerdo a las políticas, las normas, etc.
Se enfoca en seleccionar en una o más opciones de variación de riesgos, y en ejecutar dichas opciones:
Prevenir el riesgo (decidiendo no seguir con la tarea que lo motivo).
Aceptar el riesgo o incrementarlo (en caso de una oportunidad)
Quitar las fuentes del riesgo
Cambiar las posibilidades de ocurrencia (transfiriendo o mitigándolo)
Aceptar el riesgo conjunto (con otras partes).
El proceso para administrar riesgos se acaba con la interrelación de todas las fases mencionadas con la comunicación y consultas, desde una perspectiva, y el control y revisión desde otra.
Con las partes envueltas en la totalidad de fases del proceso
Reconocimiento de procesos y partes involucradas
Ayuda a poder establecer un buen contexto
Da garantía para que los intereses de las partes interesadas sean entendidas.
Garantiza que los riesgos estén identificados de manera adecuada.
Dar garantizados controles efectivos (monitoreo del desempeño y obtención de datos adicionales que mejoren la valuación del riesgo)
Estudiar sucesos, cambios, tendencias, logros y fracasos.
Identificar las variaciones del contexto, tanto dentro como fuera y estar alertas ante ellos.
Identificar nuevos riesgos emergentes
Poder lograr una identificación de otros riesgos.
Figura 6
ISO 31000:2009 Cláusula 5: Proceso de la Gestión de Riesgo ISO 31000
Fuente: Castro M. (2010), (p.3)
Cesar Nates nos menciona que las generalizaciones del proceso de riesgo son 37:
Alan Santos menciona que la “Nueva Guía” ISO 31000 está programada para ser lanzada en el segundo semestre de 2017 la cual cambiará de nombre de “ISO 31000:2009 Principio y orientaciones” a “ISO 31000:2017 Marco y Proceso-Directrices”. Además, un tema importante es la integración de la misma en la estructura de gobierno de organización 38.
Continuando con el análisis de la posible nueva Guía, se menciona que existe una gran posibilidad de que esta guía se transforme en una regla con requisitos específicos y certificables. Así mismo, se observa un inminente cambio en los principios que en primera instancia se conocían como 11. Porque se reagrupan y reordenan, quedando sólo nueve principios, pero incorporando: el principio de la inclusividad.
Abarcando un tema que generaba mucha controversia entre los críticos de la ISO 31000, se observa la eliminación de gran parte del vocabulario, dando inicio próximo al proceso de revisión del diccionario para la gestión de riesgo. Al abarcar esta problemática, se busca generar un vocabulario suficientemente amplio, pero a la vez específico, que permita trabajar riesgos asociados a distintas Normas.
Por otro lado, en esta nueva versión se incluirá el punto de la “Definición del propósito y alcance del proceso de gestión de riesgos”, que no era necesario de definir en la actual versión 2009.
Se espera la exclusión del Anexo A que abarcaba los “Atributos de una gestión del riesgo optimizada” ya que se considera que este tema debiera formar parte de una guía en particular y no de un anexo. Cabe resaltar que dicho anexo informativo habla sobre los siguientes atributos:
El esquema que representa el “Marco de Trabajo” se cambió producto de la importancia que adquiere el elemento “Mandato (liderazgo) y Compromiso”. Así, este se convierte en el centro del Marco y todos los elementos que lo componen deben relacionarse con él, en todo momento.
Por último, el principio “Factores humanos y culturales” adquiere gran relevancia en la nueva norma, destacándose que estos factores influyen significativamente en cada nivel y etapa de la gestión de riesgos.
Kelechava, muestra un análisis del primer borrador de la nueva ISO 31000:2017 lo que significa que la misma ya está, desde marzo, disponible para comentarios del público.
Este primer borrador da un lenguaje muy básico y sencillo para expresar de la mejor manera a nivel usuario, los fundamentos de la gestión de riesgos. Esta simplicidad se muestra gracias también en la reducción de la terminología en ISO / DIS 31000: 2017 a los conceptos básicos. Y con ello, la “Guía ISO 73 - Gestión de riesgos – Vocabulario”. Adicionalmente, se muestra más inclusiva y accesible para todos ya que tiene información más detallada. Así mismo, es más conciso para transmitir la orientación del implementador y expresar los beneficios y valores de una gestión del riesgo eficaz. Lo que sigue para este proceso de revisión es la FDIS (Etapa Final del Borrador del Estándar Internacional). Como consecuencia tras este período, se espera que la examinación de la norma ISO 31000 se publicará entre fines del 2017 y el 2019.
Castro, menciona que primero, al implementar esta norma para la administración del riesgo, se aumenta la posibilidad de cumplir los objetivos previstos por la compañía 39. Adicionalmente, fomenta la gestión proactiva al ser consciente de la necesidad de reconocer y tratar el riesgo en toda la organización.
También, la implementación de este estándar, ayudará en la mejora de la identificación de oportunidades y amenazas que se muestran en el ambiente externo de la compañía. Así mismo, ayudará a cumplir con los requerimientos legales y normativos, a mejorar la información en las finanzas, mejorar la gobernabilidad y la lealtad de los Stakeholders. Por último, establece un cimiento confiable para tomar decisiones mediante el mejor control de los procesos y la mejora del aprendizaje organizacional. Como resultado de todos estos beneficios enumerados anteriormente, esta norma da a la organización la oportunidad de minimizar pérdidas.
Existen diversas normas que sirven de apoyo para la implementación para la ISO 31000:2009. Algunas se mencionarán a continuación:
La Norma ISO 73:2009 – Vocabulario
Según Kelechava, nos proporciona definiciones que ayudan a un mejor entendimiento e implantación de la norma ISO 31000 40.
Fomenta una comprensión, con enfoque coherente y homogéneo los procesos y marcos de trabajo que se ocupan del mismo.
La ISO 27001 - Sistema de gestión de seguridad de la información
Provee exigencias necesarias para introducir, implantar, mantener y optimizar un sistema de administración de la seguridad de la información.
Rendón nos muestra la estructura de la norma 41:
Así mismo, Castro y Bayona (2011), con referencia a la ISO 27005, esta metodología sigue las siguientes fases 42:
Figura 7
Modelo PHVA aplicado al SGSI.
Fuente: Rendón. (2015) p.4
La Norma IEC 31010:2009:
Recapitulando todo lo mencionado anteriormente, se conoce que las actividades de una empresa involucran riesgos que deben ser manejados. Es por ello que el proceso de gestión de riesgos agrega la toma de decisiones, considerando las incertidumbres y considerando la posibilidad de eventos y circunstancias futuros y sus efectos sobre los objetivos propuestos.
De esta manera, la norma ISO 31000 nos presenta un esquema que nos ayuda a conocer los riesgos de manera eficiente y a ordenarlos para un buen análisis y gestión. Así, implementando en la organización, la gestión de riesgos debe ser capaz de alcanzar ciertos objetivos como tomar conciencia de las amenazas causadas por los riesgos, ser capaz de manejar los riesgos dentro de la organización, tener la capacidad de asignar y hacer uso efectivo de los recursos para tratar el riesgo. De la misma manera, mejor reconocimiento de oportunidades y amenazas, tener una mejor gestión de incidentes y prevención, mejora de la eficacia y eficacia operativas y reducir las pérdidas.
Se debe desarrollar esta guía 43 teniendo en cuenta el liderazgo general de la organización, la gestión de la organización, los procesos de información y las políticas internas de la asociación. La gestión de riesgos resulta un pilar importante en las empresas, en vista de su importancia no solo en el desarrollo de los procesos, identificación de peligros, sino su impacto en la gestión de la calidad (Lizarzaburu, 2016).
En la actualidad las organizaciones buscan mejorar sus procesos y una forma de poder realizarlo es implementando estándares que les permitan monitorear mejor su proceso, se espera de la nueva ISO 31000:2017 una serie de cambios interesantes, destacándose los factores humanos y culturales y la inclusión de métodos para evaluar el desarrollo de la implementación de la administración de riesgos en la organización.
Aven, T. (2017). The flaws of the ISO 31000 conceptualisation of risk. Proceedings of the Institution of Mechanical Engineers, Part O: Journal of Risk and Reliability.
Banco Central de Reserva de El Salvador (enero, 2006), Instructivo de Gestión de Riesgos y Metodología de Gestión de Riesgos del BCR, enero.
Basel Committee. (2010). Basel III: A global regulatory framework for more resilient banks and banking systems. Basel Committee on Banking Supervision, Basel.
Basilea, C. D. S. B. (2010). Marco regulador internacional para bancos (Basilea III).
Bolaños Pozo, M. F. (2016). Diseño de un modelo de gestión de riesgos de crédito para el sistema mutual ecuatoriano basado en ISO 31000. Master’s thesis, PUCE. Ecuador, Quito.
Cañas, L. (2009). Gestión de riesgos de negocio. Desarrollo e implementación de sistemas de gestión de riesgos. Documentos Ocasionales N.° 2009-1. El Salvador: Departamento de Investigación Económica y Financiera del Banco Central de Reserva de El Salvador. Visitado el 22 de junio de 2017 en: http://www.bcr.gob.sv/bcrsite/uploaded/content/category/790395247.pdf
Casares, I. & Lizarzaburu, E. (2016). Introducción a la Gestión Integral de Riesgos Empresariales. Enfoque: ISO 31000. Perú: Editorial Platinum
Castro, A. R., & Bayona, Z. O. (2011). Gestión de Riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios. Ingeniería, 16(2), 56-66.
Castro, M. (2010). El Nuevo Estándar ISO para la Gestión del Riesgo. Surlatina Consultores. Recuperado de: https://capacitacion.gestionderiesgos.gob.ec/courses/40/files/3782/download
Chernobai, A. ST Rachev, FJ Fabozzi (2008) Operational risk: a guide to Basel II capital requirements, models, and analysis. Wiley, 1st edition
Guide, I. S. O. (2009). 73: 2009. Risk management—Vocabulary. Recuperado de: https://www.iso.org/standard/44651.html
Hommel, U., & King, R. (2013). The emergence of risk-based regulation in higher education: Relevance for entrepreneurial risk taking by business schools. Journal of Management Development, 32(5), 537-547.
Hopkin, P. (2010). Fundamentals of risk management: understanding, evaluating, and implementing effective risk management. Londres, Reino Unido: Kogan Page Limited.
Hopkin, P. (2017). Fundamentals of risk management: understanding, evaluating and implementing effective risk management. Kogan Page Publishers.
ISO, I. (2009). IEC 31010: 2009. Risk Management-Risk assessment techniques.
ISO, I. (2009). ISO 31000: 2009. Risk management–Principles and guidelines. International Organization for Standardization, Geneva, Switzerland.
ISO Committee: ISO/TC 262 Risk Management. Link: https://isotc262.org/2015/07/14/a-transparency-initiative-for-the-ongoing-revision-of-iso-31000/
Kelechava, B. (2017). ISO/DIS 31000:2017 - Risk Management Guidelines Released. American National Standards Institute. Recuperado de: https://ansidotorg.blogspot.com/2017/03/isodis-310002017-released.html#.WVJb5g78osI.link
Knight, K. (2009) Future ISO 31000 standard on risk management, ISO focus. Recuperado de: https://www.iso.org/files/live/sites/isoorg/files/archive/pdf/en/future_31000_junefocus2009.pdf
Leitch, M. (2010). ISO 31000: 2009—the new international standard on risk management. Risk Analysis, 30(6), 887-892.
Lizarzaburu Bolaños, E. R. (2016). La gestión de la calidad en Perú: un estudio de la norma ISO 9001, sus beneficios y los principales cambios en la versión 2015. Universidad & Empresa, 18(30).
Nates, C. (2011). ISO 31000. Gestión del riesgo. Principios y directrices.
Nisipeanu, S., Haiducu, M., & Stepa, R. (2013). Integrating Risk Management in the General Management of RDI Institutions. The Romanian Review Precision Mechanics, Optics & Mechatronics, 44, 56-59.
Olechowski, A., Oehmen, J., Seering, W., & Ben-Daya, M. (2012). Characteristics of successful risk management in product design.
Olechowski, A., Oehmen, J., Seering, W., & Ben-Daya, M. (2016). The professionalization of risk management: What role can the ISO 31000 risk management principles play. International Journal of Project Management, 34(8), 1568-1578.
Purdy, G. (2010). ISO 31000:2009—Setting a New Standard for Risk Management. Risk Analysis: An International Journal, 30(6), 881-886. doi:10.1111/j.1539-6924.2010.01442. Recuperado de: http://broadleaf.com.au/wp-content/uploads/2010/06/Art_RiskAnalysis_ISO31000.pdf
Rendón Freire, M. J. (2015). Migración de un SGSI basado en ISO/IEC 27001: 2005 a la versión ISO/IEC 27001: 2013. Master's thesis, Ecuador, Guayaquil. Recuperado de: http://www.dspace.espol.edu.ec/xmlui/handle/123456789/31352
Rodríguez, E. (diciembre, 2008). Modelo Estándar de Control Interno para el Estado Colombiano. [en línea]. Bogotá, Colombia. versión 2, 48 p. Disponible en Internet: http://portal.dafp.gov.co/form/formularios.retrive_publicaciones?no=579
Santos, A. (19 de enero de 2017). Los desafíos y cambios que presenta la nueva Norma de Gestión del Riesgo ISO 31000: ¿2017? .Recuperado de https://www.inese.es/noticias/los-desafios-y-cambios-que-presenta-la-nueva-norma-de-gestion-del-riesgo-iso-31000-2017#.WPeWF9KGPIU
Standards Australia/Standards New Zealand Standard Committee. (2009). AS/NZS ISO 31000: 2009 Risk management—Principles and guideline. Standards Australia/Standards New Zealand Standard Committee, Sidney.
The Global Platform for ISO 31000 (2009). Disponible en Internet: http://g31000.org/national-standards-adopt-iso31000/
Zapata, A. (2015). Análisis de riesgos por procesos basado en la norma ISO 31000: 2011 para el centro comercial premier el limonar Cali. Tesis de Grado. Universidad Autónoma de Occidente. Santiago de Cali, Colombia. Recuperado de:
https://red.uao.edu.co/bitstream/10614/8029/1/T06032.pdf
Agradecimiento: Los autores agradecen la participación (2016 y 2017) de Miguel Alegre, Enzo Azcama, Celeste Gaspar y a Charles Woodage alumnos de la Universidad Esan y de Felix Lara Sanchez de la UCV – Sede Chimbote.
1. PhD. Universidad Esan. Miembro del CTN de Gestión de Activos y Riesgos en el sector técnico según oficio n° 694-2017-INACAL-DN, Instituto Nacional de la Calidad - https://www.inacal.gob.pe/
3. Universidad UCV - Sede Chimbote
5. Universidad Nacional Agraria La Molina - UNALM
6. Chernobai, A. ST Rachev, FJ Fabozzi (2008) Operational risk: a guide to Basel II capital requirements, models, and analysis. Wiley, 1st edition
8. Knight, K. (2009) Future ISO 31000 standard on risk management, ISO focus. Recuperado de: https://www.iso.org/files/live/sites/isoorg/files/archive/pdf/en/future_31000_junefocus2009.pdf
9. Chernobai, A. ST Rachev, FJ Fabozzi (2008) Operational risk: a guide to Basel II capital requirements, models, and analysis. Wiley, 1st edition p.882
10. Zapata, A. (2015). Análisis de riesgos por procesos basado en la norma ISO 31000: 2011 para el centro comercial premier el limonar Cali. Tesis de Grado. Universidad Autónoma de Occidente. Santiago de Cali, Colombia. Recuperado de: https://red.uao.edu.co/bitstream/10614/8029/1/T06032.pdf p.26
11. Olechowski, A., Oehmen, J., Seering, W., y Ben-Daya, M. (2016). The professionalization of risk management: What role can the ISO 31000 risk management principles play?. International Journal of Project Management, 34(8), 1568-1578.
12. Purdy, G. (2010). ISO 31000:2009—Setting a New Standard for Risk Management. Risk Analysis: An International Journal, 30(6), 881-886. doi:10.1111/j.1539-6924.2010.01442. Recuperado de: http://broadleaf.com.au/wp-content/uploads/2010/06/Art_RiskAnalysis_ISO31000.pdf p.882
13. Aven, T. (2017). The flaws of the ISO 31000 conceptualisation of risk. Proceedings of the Institution of Mechanical Engineers, Part O: Journal of Risk and Reliability.
14. Hopkin, P. (2010). Fundamentals of risk management: understanding, evaluating, and implementing effective risk management. Londres, Reino Unido: Kogan Page Limited.
15. Nisipeanu, S., Haiducu, M., y Stepa, R. (2013). Integrating Risk Management in the General Management of RDI Institutions. The Romanian Review Precision Mechanics, Optics y Mechatronics, 44, 56-59.
16. Purdy, G. (2010). ISO 31000: 2009—setting a new standard for risk management. Risk analysis, 30(6), 881-886.
17. Purdy, G. (2010). ISO 31000:2009—Setting a New Standard for Risk Management. Risk Analysis: An International Journal, 30(6), 881-886.
18. Casares, I. y Lizarzaburu, E. (2016). Introducción a la Gestión Integral de Riesgos Empresariales. Enfoque: ISO 31000. Perú: Editorial Platinum.
21. Hopkin, P. (2010). Fundamentals of risk management: understanding, evaluating, and implementing effective risk management. Londres, Reino Unido: Kogan Page Limited.
22. Hommel, U., y King, R. (2013). The emergence of risk-based regulation in higher education: Relevance for entrepreneurial risk taking by business schools. Journal of Management Development, 32(5), 537-547.
23. Knight, K. (2009) Future ISO 31000 standard on risk management, ISO focus. Recuperado de: https://www.iso.org/files/live/sites/isoorg/files/archive/pdf/en/future_31000_junefocus2009.pdf
25. Castro, M. (2010). El Nuevo Estándar ISO para la Gestión del Riesgo. Surlatina Consultores. Recuperado de: https://capacitacion.gestionderiesgos.gob.ec/courses/40/files/3782/download
26. Cañas, L. (2009). Gestión de riesgos de negocio. Desarrollo e implementación de sistemas de gestión de riesgos. Documentos Ocasionales N.° 2009-1. El Salvador: Departamento de Investigación Económica y Financiera del Banco Central de Reserva de El Salvador. Visitado el 22 de junio de 2017 en: http://www.bcr.gob.sv/bcrsite/uploaded/content/category/790395247.pdf
28. Bolaños Pozo, M. F. (2016). Diseño de un modelo de gestión de riesgos de crédito para el sistema mutual ecuatoriano basado en ISO 31000. Master’s thesis, PUCE. Ecuador, Quito p.346
29. Leitch, M. (2010). ISO 31000: 2009—the new international standard on risk management. Risk Analysis, 30(6), 887-892.
30. Olechowski, A., Oehmen, J., Seering, W., y Ben-Daya, M. (2016). The professionalization of risk management: What role can the ISO 31000 risk management principles play. International Journal of Project Management, 34(8), 1568-1578.
31. Fraguío, M. P. D., y Macías, M. I. C. (2011). Gerencia de riesgos sostenibles y responsabilidad social empresarial en la entidad aseguradora. Fundación Mapfre.
32. Torre-Enciso, M., y San José-Martí, M.,Isabel Casares. (2011). EL PROCESO DE GESTIÓN DE RIESGOS COMO COMPONENTE INTEGRAL DE LA GESTIÓN EMPRESARIAL. Boletín De Estudios Económicos, 66(202), 73-93. Retrieved from https://search.proquest.com/docview/1314736320?accountid=36937
33. Castro, A. R., y Bayona, Z. O. (2011). Gestión de Riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios. Ingeniería, 16(2), 56-66.
34. Castro, M. (2010). El Nuevo Estándar ISO para la Gestión del Riesgo. Surlatina Consultores. Recuperado de: https://capacitacion.gestionderiesgos.gob.ec/courses/40/files/3782/download
35. Casares, I. y Lizarzaburu, E. (2016). Introducción a la Gestión Integral de Riesgos Empresariales. Enfoque: ISO 31000. Perú: Editorial Platinum
36. Castro, M. (2010). El Nuevo Estándar ISO para la Gestión del Riesgo. Surlatina Consultores. Recuperado de: https://capacitacion.gestionderiesgos.gob.ec/courses/40/files/3782/download
39. Santos, A. (19 de enero de 2017). Los desafíos y cambios que presenta la nueva Norma de Gestión del Riesgo ISO 31000: ¿2017? .Recuperado de https://www.inese.es/noticias/los-desafios-y-cambios-que-presenta-la-nueva-norma-de-gestion-del-riesgo-iso-31000-2017#.WPeWF9KGPIU
40. Castro, M. (2010). El Nuevo Estándar ISO para la Gestión del Riesgo. Surlatina Consultores. Recuperado de: https://capacitacion.gestionderiesgos.gob.ec/courses/40/files/3782/download
41. Kelechava, B. (2017). ISO/DIS 31000:2017 - Risk Management Guidelines Released. American National Standards Institute. Recuperado de: https://ansidotorg.blogspot.com/2017/03/isodis-310002017-released.html#.WVJb5g78osI.link
44. http://fundacioninade.org/sites/inade.org/files/web_libro_3_la_gestion_integral_de_riesgos_empresariales.pdf