Por Amy González, consultora senior
Todas las organizaciones se encuentran con factores internos y externos que pueden conllevar a hacer que “algo” sea incierto, lo cual puede afectar que la organización logre sus objetivos y metas a tiempo o evite una situación problemática. Esta incertidumbre es lo que constituye el riesgo.
Cuando se habla de “gestión del riesgo”, con frecuencia se conoce el estándar COSO, que tiene su origen en el área financiero-contable y fue originalmente concebido para impedir el fraude financiero. Este modelo ha evolucionado en un marco referencial bastante complejo y completo, pero a veces difícil de implementar de forma integral, lo cual deja a quienes lo implementan con una sensación de implementación permanente.
La norma ISO 31000 nace en 2009 como un estándar surgido de personas que han dedicado su vida a gestionar el riesgo (“practitioners”) y que define el riesgo como la posibilidad de no cumplir con los objetivos de la organización. Es por tanto bastante más integral en su enfoque, y en nuestra opinión, más práctico. Su enfoque utiliza una estructura similar al conocido Ciclo de Deming para la mejora continua (“Plan-Do-Check-Act”) pero esta re-alineado para reducir riesgos o eliminar incidentes potenciales de riesgo que se pueden prevenir con facilidad y en etapas tempranas de detección.
La gestión del riesgo propuesta por ISO31000 se puede aplicar a cualquier tipo de organización, en todas sus áreas, en cualquier momento y se puede implementar en el nivel de detalle que requieran las necesidades de la organización: desde niveles macro muy estratégicos hasta detallados como en proyectos, procesos ó actividades específicas de finanzas, compras ventas u otra función, lo cual la hace muy flexible y práctica para implementar.
La gestión del riesgo basada en ISO 31000 puede ser aplicada en los siguientes contextos:
1. Para aumentar la probabilidad de alcanzar los objetivos o metas en el plan estratégico.
2. Para identificar las oportunidades o amenazas a las que se encuentra expuesta la organización en el mercado.
3. Para cumplir con los requisitos legales y/o reglamentos internos a los que se encuentra sujeta una empresa.
4. Para mejorar la eficacia y la eficiencia operativa en la organización.
5. Para establecer o mejorar la confianza para la toma de decisiones y la planificación en la organización.
Esta norma está prevista para satisfacer las necesidades de las partes interesadas de la organización permitiendo que aumente la confianza y la seguridad de las mismas en cuanto al funcionamiento de la organización.
ISO 31000 no es una norma que tenga como objetivo la certificación, pero trata impulsar la forma correcta de gestionar el riesgo, recomendando que las organizaciones desarrollen, implementen y mejoren de manera continua un marco de trabajo. Este “framework” integra procesos de gestión de riesgo dentro de los procesos operativos en todas las áreas de la organización. El enfoque que da ISO 31000 proporciona los principios y las directrices para gestionar cualquier forma de riesgo de forma práctica.
En EXYGE hemos incorporado ISO 31000 a nuestros proyectos de estrategia, procesos y operaciones porque nos parece que aporta un valor agregado adicional, tanto a organizaciones reguladas como no reguladas, proveyendo un marco referencial para la gestión de riesgo que es práctico, flexible y sobre todo – enfocado en lo que más importa: el Negocio.