Norma internacional ISO 31000:...

La Norma internacional ISO 31000:2018 – 02 Mejora el crecimiento de las empresas.

23/06/2021

ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos miembros de ISO). El trabajo de preparación de las Normas Internacionales normalmente se realiza a través de los comités técnicos de ISO. Cada organismo miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comité. Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también participan en el trabajo.

Los principales cambios en comparación con la edición anterior son los siguientes:

 

  1. Es necesario revisar los principios de la administración/gestión de riesgos, que son los criterios clave para su éxito;
  2. Recomendado destacar el liderazgo de la alta dirección y la integración de la administración/gestión de riesgos, comenzando con la gobernanza de la organización;
  3. Se pone mayor énfasis en la naturaleza iterativa de la administración/gestión de riesgos, señalando que las nuevas experiencias, el conocimiento y el análisis pueden llevar a una revisión de los elementos del proceso, las acciones y los controles en cada etapa del proceso;
  4. Imperativo simplificar el contenido con un mayor enfoque en mantener un modelo de sistemas abiertos para adaptarse a múltiples necesidades y contextos.

La administración/gestión de riesgos es:

a. iterativa y apoya a las organizaciones a establecer su estrategia, lograr sus objetivos y tomar decisiones informadas.

b. parte de la gobernanza y el liderazgo y es fundamental en la manera en que se gestiona la organización en todos sus niveles. Esto contribuye a la mejora de los sistemas de administración/gestión.

c. parte de todas las actividades asociadas con la organización e incluye la interacción con las partes interesadas.

d. considera los contextos interno y externo de la organización, incluyendo el comportamiento humano y los factores culturales.

Principios

a. El propósito de la administración/gestión de riesgos es la creación y la protección del valor. Mejora el desempeño, fomenta la innovación y contribuye al logro de objetivos.

b. Integrada: La administración/gestión de riesgos es parte integral de todas las actividades de la organización.

c. Estructurada y exhaustiva: Un enfoque estructurado y exhaustivo hacia la administración/gestión de riesgos contribuye a resultados coherentes y comparables.

d. Adaptada/Ajustada: El marco de referencia y el proceso de la administración/gestión de riesgos se adaptan y son proporcionales a los contextos interno y externo de la organización relacionados con sus objetivos.

e. Inclusiva: La participación apropiada y oportuna de las partes interesadas permite que se consideren sus conocimientos, puntos de vista y percepciones. Esto resulta en una mayor toma de concientización y una administración/gestión de riesgos informada.

f. Dinámica: Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos interno y externo de la organización. La administración/gestión de riesgos anticipa, detecta, reconoce y responde a esos cambios y eventos de una manera apropiada y oportuna.

g. Mejor información disponible: Las entradas a la administración/gestión de riesgos se basan en información histórica y actualizada, así como en expectativas futuras. La administración/gestión de riesgos tiene en cuenta explícitamente cualquier limitación e incertidumbre asociada con tal información y expectativas. La información debiera ser oportuna, clara y disponible para las partes interesadas pertinentes.

h. Factores humanos y culturales: El comportamiento humano y la cultura influyen considerablemente en todos los aspectos de la administración/gestión de riesgos en todos los niveles y etapas.

i. Mejora continua: La administración/gestión de riesgos mejora continuamente mediante aprendizaje y experiencia.

Marco de referencia

  • Liderazgo y compromiso:

La alta dirección y los órganos de supervisión, cuando sea aplicable, debieran asegurar que la administración/gestión de riesgos esté integrada en todas las actividades de la organización y debieran demostrar el liderazgo y compromiso.

  • Integración:

Depende de la comprensión de las estructuras y el contexto de las organizaciones. Las estructuras difieren dependiendo del propósito, las metas y la complejidad de las organizaciones. Los riesgos se gestionan en cada parte de la estructura de la organización. Todos los miembros de una organización tienen la responsabilidad de administrar/gestionar los riesgos.

  • Diseño:

Las organizaciones debiera analizar y comprender sus contextos interno y externo cuando diseñe el marco de referencia para administrar/gestionar sus riesgos. La comunicación implica compartir información con el público objetivo. La consulta además implica que los participantes proporcionen retroalimentación con la expectativa de que ésta contribuya y de forma a las decisiones u otras actividades. Los métodos y el contenido de la comunicación y la consulta debieran reflejar las expectativas de las partes interesadas, cuando sea pertinente.

  • Implementación:

La implementación con éxito del marco de referencia requiere del compromiso y la concientización de las partes interesadas. Esto permite a las organizaciones abordar explícitamente la incertidumbre en la toma de decisiones, al tiempo que asegura que cualquier incertidumbre nueva o subsiguiente se pueda tener en cuenta cuando surja. Si se diseña e implementa correctamente, el marco de referencia de la administración/gestión de riesgos asegurará que el proceso de la administración/gestión de riesgos sea parte de todas actividades en toda la organización, incluyendo la toma de decisiones, y que los cambios en los contextos interno y externo se captarán de manera adecuada.

  • Evaluación:

Para evaluar la efectividad del marco de referencia de la administración/gestión de riesgos, las organizaciones debiera medir periódicamente el desempeño del marco de referencia de la administración/gestión de riesgos con relación a su propósito, sus planes para la implementación, sus indicadores y el comportamiento esperado; determinar si permanece idóneo para apoyar el logro de los objetivos de las organizaciones mismas.

  • Adaptación:

Las organizaciones debieran realizar el seguimiento continuo y adaptar el marco de referencia de la administración/gestión de riesgos en función de los cambios internos y externos. Al hacer esto, las organizaciones puede mejorar su valor.

  • Mejora continua:

Las organizaciones debieran mejorar continuamente la idoneidad, adecuación y efectividad del marco de referencia de la administración/gestión de riesgos y la manera en la que se integra el proceso de la administración/gestión de riesgos.

Proceso:

  • Comunicación y consulta: El propósito de la comunicación y consulta es apoyar a las partes interesadas pertinentes a comprender los riesgos, las bases con las que se toman decisiones y las razones por las que son necesarias acciones específicas. La comunicación busca promover la concientización y la comprensión de los riesgos, mientras que la consulta implica obtener retroalimentación e información para apoyar la toma de decisiones.
  • Alcance, contexto y criterios Generalidades: El propósito del establecimiento del alcance, contexto y criterios es adaptar el proceso de la administración/gestión de riesgos, para permitir una evaluación de riesgos efectiva y un tratamiento apropiado de los riesgos mismos. El alcance, contexto y criterios implican definir el alcance del proceso, y comprender los contextos interno y externo.

Definición del alcance: Las organizaciones debiera definir el alcance de sus actividades de administración/gestión de riesgos. Como el proceso de la administración/gestión de riesgos puede aplicarse a niveles distintos (por ejemplo: estratégico, operacional, de programas, de proyectos u otras actividades), es importante tener claro el alcance considerado, los objetivos pertinentes a considerar y su alineamiento con los objetivos de la organización.

Contextos interno y externo: El contexto del proceso de la administración/gestión de riesgos se debiera establecer a partir de la comprensión de los entornos interno y externo en los cuales opera las organizaciones y debiera reflejar el entorno específico de la actividad en la cual se va a aplicar el proceso de la administración/gestión de riesgos.

Definición de los criterios para riesgos: Las organizaciones debieran precisar la cantidad y el tipo de riesgos que pueden o no tomar, con relación a los objetivos. También debieran definir los criterios para evaluar la importancia de los riesgos y apoyar los procesos de toma de decisiones. Los criterios para riesgos se debieran alinear con el marco de referencia de la administración/gestión de riesgos y adaptar al propósito y al alcance específicos de la actividad considerada. Los criterios para riesgos debieran reflejar los valores, objetivos y recursos de la organización y ser coherentes con las políticas y declaraciones acerca de la administración / gestión de riesgos.  Las obligaciones de las organizaciones y los puntos de vista de sus partes interesadas.

 

  • Evaluación de riesgos: La evaluación de riesgos es el proceso global de identificación, análisis y evaluación de los riesgos mismos.

Identificación de riesgos: El propósito de la identificación de riesgos es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos. Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada.

Análisis de riesgos: El propósito del análisis de riesgos es comprender la naturaleza de los riesgos y sus características incluyendo, cuando sea apropiado, el nivel de los riesgos mismos. El análisis de los riesgos implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su efectividad.

Evaluación de riesgos: El propósito de la evaluación de los riesgos es apoyar a la toma de decisiones. La evaluación de los riesgos implica comparar los resultados del análisis del riesgo con:

  • Tratamiento de los riesgos: El propósito del tratamiento de los riesgos es seleccionar e implementar opciones para abordar los riesgos. El tratamiento de los riesgos implica un proceso iterativo de: formular y seleccionar opciones para el tratamiento de los riesgos; planear e implementar el tratamiento de los riesgos; evaluar la efectividad de dicho tratamiento; decidir si los riesgos residuales son aceptables; si no son aceptables, efectuar algún tratamiento adicional.

Selección de las opciones para el tratamiento de riesgos: Las opciones de tratamiento de los riesgos no necesariamente son mutuamente excluyentes o apropiadas en todas las circunstancias. Las opciones para tratar los riesgos pueden implicar una o más de las siguientes: evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo mismo; aceptar o aumentar el riesgo en busca de una oportunidad; eliminar la fuente de riesgo; modificar la probabilidad; modificar las consecuencias; compartir el riesgo (por ejemplo: a través de contratos, compra de seguros); retener el riesgo con base en una decisión informada.

Preparación e implementación de los planes para el tratamiento de riesgos: El propósito de los planes para el tratamiento de los riesgos es especificar la manera en la que se implementarán las opciones elegidas para el tratamiento, de manera tal que los involucrados comprendan las disposiciones, y que pueda realizarse el seguimiento del avance respecto de lo planeado. El plan de tratamiento debiera identificar claramente el orden en el cual el tratamiento del riesgo se debiera implementar.

  • Seguimiento y revisiones:

El propósito del seguimiento y las revisiones es asegurar y mejorar la calidad y efectividad del diseño, la implementación y los resultados del proceso. El seguimiento continuo y la revisión periódica del proceso de la administración/gestión de riesgos y sus resultados debiera ser una parte planeada del proceso de la administración/gestión de riesgos, con responsabilidades claramente definidas.

  • Registros e informes:

Los registros y reportes pretenden: comunicar las actividades de la administración/gestión de riesgos y sus resultados a lo largo de la organización; ofrecer información para la toma de decisiones; mejorar las actividades de la administración/gestión de riesgos; apoyar en la interacción con las partes interesadas, incluyendo a las personas que tienen la responsabilidad y la obligación de rendir cuentas de las actividades de la administración/gestión de riesgos.

#Compliance, #Risks International S.a.s

Por: Juliana Franco

Fundamentos de la iso 19600 para el cumplimiento corporativo

 

Beneficios de la Debida Diligencia Avanzada

No Replies on Norma internacional ISO 31000:2018 – 02

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.