En un contexto empresarial marcado por la incertidumbre, la transformación digital y el aumento de los riesgos cibernéticos, la gestión de riesgos se ha consolidado como un pilar estratégico para garantizar la continuidad de las operaciones y la confianza de los clientes. Sin embargo, surge una pregunta frecuente entre los profesionales: ¿ISO 27005 vs ISO 31000, cuál de estas normas es más útil para mi organización?

Ambos estándares son reconocidos internacionalmente y ofrecen enfoques sólidos para abordar los riesgos, pero presentan diferencias significativas en su alcance, propósito y nivel de especialización. Mientras que la ISO 27005 se centra en la seguridad de la información, la ISO 31000 proporciona un marco general aplicable a cualquier tipo de riesgo.

ISO 27005: un enfoque en seguridad de la información

La ISO 27005 es una norma que ofrece directrices específicas para la gestión de riesgos de seguridad de la información. Está diseñada como complemento de la ISO 27001, y proporciona el marco metodológico para identificar, analizar y tratar los riesgos que afectan a la confidencialidad, integridad y disponibilidad de la información.

Entre sus principales ventajas destacan:

• Especialización: aborda de forma concreta los riesgos de ciberseguridad y de protección de datos.
• Integración natural con ISO 27001: juntas, ambas normas conforman un Sistema de Gestión de Seguridad de la Información (SGSI) sólido.
• Adaptabilidad: se aplica a organizaciones de cualquier tamaño o sector que manejen información sensible o crítica.
• Gestión proactiva de amenazas: permite anticiparse a riesgos como accesos no autorizados, ataques de malware, fugas de información o interrupciones en la disponibilidad de sistemas.

En resumen, ISO 27005 es ideal para empresas cuya prioridad es la protección de sus activos digitales y que buscan una metodología alineada con las mejores prácticas internacionales de seguridad de la información.ç

ISO 31000: un marco de gestión de riesgos integral

La ISO 31000, por su parte, es un estándar internacional que establece principios y directrices para la gestión de riesgos en cualquier ámbito organizacional. No está limitada a la seguridad de la información, sino que puede aplicarse a riesgos financieros, estratégicos, legales, reputacionales, ambientales y operativos.

Sus beneficios más destacados son:

• Visión global: aborda el riesgo desde un enfoque holístico, considerando todos los factores que pueden afectar al logro de los objetivos de la organización.
• Aplicabilidad multisectorial: su naturaleza transversal la convierte en una herramienta útil para empresas de cualquier sector.
• Mejora continua: promueve la revisión constante del sistema de gestión de riesgos para adaptarse a nuevas amenazas y oportunidades.
• Toma de decisiones estratégica: facilita la incorporación de la gestión de riesgos en los procesos de planificación y gobierno corporativo.

La ISO 31000 es recomendable para organizaciones que necesitan un marco flexible y amplio, capaz de integrar la gestión de riesgos en todos los niveles y procesos.

ISO 27005 vs ISO 31000: comparativa de características

A continuación, presentamos una tabla comparativa que resume las principales diferencias y similitudes entre ambas normas:

Esta comparación evidencia que la elección no es excluyente: una organización puede implementar ISO 31000 como marco global y utilizar ISO 27005 como metodología especializada para la gestión de riesgos de seguridad de la información.

Una organización puede implementar ISO 31000 como marco global y utilizar ISO 27005 como metodología especializada para la gestión de riesgos de seguridad de la información.
Compartir en X

¿Cómo elegir entre ISO 27005 e ISO 31000?

La respuesta depende del contexto y prioridades de la organización:

• Si el foco principal está en la seguridad de la información y la protección de activos digitales, la elección natural es ISO 27005.
• Si la necesidad es gestionar riesgos de manera transversal en todos los procesos y áreas, ISO 31000 es la norma más adecuada.
• En entornos complejos, lo más recomendable es combinar ambas, adoptando ISO 31000 como marco general e ISO 27005 como metodología específica para riesgos de seguridad de la información.

El papel de la tecnología en la gestión de riesgos

Más allá de la elección normativa, el desafío real está en operativizar la gestión de riesgos. Esto implica recopilar información, evaluarla, priorizar acciones, monitorear indicadores y garantizar la trazabilidad de cada decisión.

Las herramientas digitales se convierten en un aliado estratégico, ya que permiten automatizar procesos, centralizar datos y facilitar el cumplimiento de requisitos de auditoría.

ISOTools: una solución para integrar la gestión de riesgos

El Software ISO 31000 de ISOTools es la plataforma ideal para implementar y mantener un sistema de gestión de riesgos eficaz y alineado con las mejores prácticas internacionales. Permite identificar, evaluar, priorizar y tratar riesgos de forma centralizada, asegurando que las decisiones se basen en información confiable y actualizada.

Además, su diseño flexible facilita la integración con otras normas ISO y marcos específicos como ISO 27005, potenciando así un enfoque integral que combina la gestión general de riesgos con la protección de la seguridad de la información.

La comparación ISO 27005 vs ISO 31000 no debe entenderse como una disyuntiva, sino como una oportunidad de aprovechar lo mejor de cada estándar. Mientras ISO 27005 aporta profundidad técnica en la gestión de riesgos de seguridad de la información, ISO 31000 ofrece un marco global que fortalece la resiliencia organizacional.

Con el Software ISO 31000 de ISOTools, las organizaciones pueden transformar estas metodologías en una práctica efectiva y sostenible. La plataforma permite automatizar procesos, garantizar trazabilidad y fomentar la mejora continua, convirtiendo la gestión de riesgos en una ventaja competitiva y estratégica.

Una mala gestión del riesgo puede costar millones, y no hablamos solo de dinero: hablamos de reputación, de confianza, de supervivencia. En un escenario donde las amenazas no tocan la puerta —simplemente irrumpen—, ¿qué tan preparada está tu organización para responder con rapidez, claridad y eficacia?

Vivimos en un mundo en el que las disrupciones ya no son la excepción, sino la norma. Desde ciberataques y fallos operacionales hasta crisis reputacionales o cambios legislativos inesperados, las empresas enfrentan una exposición constante a factores que pueden desequilibrar sus operaciones. Y sin una estrategia clara de gestión del riesgo, lo más probable es que el impacto llegue cuando menos lo esperas… y golpee más fuerte de lo que imaginas.

Frente a este contexto de incertidumbre permanente, muchas organizaciones aún se enfocan en apagar fuegos en lugar de anticipar escenarios. La consecuencia: decisiones improvisadas, recursos desperdiciados y oportunidades perdidas. Aquí es donde entra en juego una herramienta con enorme poder transformador: la Auditoria ISO 31000.

La Auditoria ISO 31000 es una radiografía profunda de cómo una organización piensa, actúa y reacciona frente al riesgo. Su propósito va más allá del cumplimiento; se centra en la construcción de una cultura de anticipación, resiliencia y mejora continua. Implementarla significa prepararse para lo inesperado y convertir la incertidumbre en una ventaja competitiva.

¿Qué es la norma ISO 31000?

La norma ISO 31000 es un estándar internacional que proporciona principios, un marco de trabajo y un proceso para la gestión del riesgo. Su objetivo es ayudar a las organizaciones a identificar, evaluar y tratar los riesgos de manera sistemática y coherente, integrándolos dentro de la toma de decisiones a todos los niveles.

A diferencia de otras normas ISO, ISO 31000 no está diseñada para certificarse, sino como una guía práctica para integrar la gestión del riesgo en todos los procesos organizacionales. Está basada en tres pilares:

• Principios: como la integración, personalización, inclusividad y dinamismo.
• Marco de trabajo: establece la estructura para implementar, revisar y mejorar la gestión del riesgo.
• Proceso de gestión del riesgo: que incluye la identificación, análisis, evaluación, tratamiento, seguimiento y comunicación del riesgo.

¿Qué es una Auditoria ISO 31000?

La Auditoría ISO 31000 es una evaluación sistemática y documentada del sistema de gestión del riesgo de una organización con base en los lineamientos de esta norma. Aunque ISO 31000 no establece requisitos obligatorios, la auditoría permite verificar en qué medida se están aplicando sus principios y si el proceso de gestión del riesgo está alineado con las mejores prácticas internacionales.

Su finalidad no es sancionar, sino identificar fortalezas, debilidades y oportunidades de mejora, así como asegurar que los riesgos están siendo gestionados de forma proactiva y no reactiva.

¿Para qué sirve una Auditoria ISO 31000?

La Auditoría ISO 31000 sirve para múltiples propósitos, tanto a nivel estratégico como operativo. A continuación, se detallan sus principales beneficios:

1. Validar la madurez del sistema de gestión del riesgo

La auditoría permite evaluar el nivel de madurez de la gestión del riesgo, es decir, si se trata de un enfoque puntual o si está verdaderamente integrado en los procesos y en la cultura de la organización.

2. Mejorar la toma de decisiones

Una gestión del riesgo bien auditada garantiza que las decisiones se toman con una base sólida de información, considerando tanto oportunidades como amenazas. Esto permite actuar con mayor confianza en escenarios de incertidumbre.

3. Incrementar la transparencia y la rendición de cuentas

El proceso de auditoría ofrece trazabilidad sobre cómo se gestionan los riesgos y quién es responsable de cada etapa, favoreciendo la rendición de cuentas y fortaleciendo el gobierno corporativo.

4. Fortalecer la resiliencia organizacional

Al identificar riesgos emergentes, evaluar su impacto y establecer planes de acción, la auditoría refuerza la capacidad de respuesta y recuperación ante eventos adversos, fortaleciendo la resiliencia empresarial.

5. Detectar desviaciones y no conformidades

Permite identificar brechas entre la práctica y la teoría, desviaciones respecto al marco de trabajo establecido o fallos en la implementación de controles. Esto facilita la implementación de acciones correctivas antes de que se materialicen consecuencias negativas.

6. Preparar la integración con otros sistemas de gestión

Una auditoría ISO 31000 allana el camino para integrar la gestión del riesgo con otras normas ISO como ISO 9001 (calidad), ISO 45001 (seguridad y salud) o ISO 14001 (medio ambiente), bajo un enfoque de sistemas integrados de gestión.

La Auditoría ISO 31000 es una evaluación sistemática y documentada del sistema de gestión del riesgo de una organización con base en los lineamientos de esta norma.
Compartir en X

¿Qué debe incluir una Auditoría ISO 31000?

Aunque la norma no prescribe un formato único, una auditoría eficaz debe incluir al menos los siguientes elementos:

• Revisión del marco de gestión del riesgo: análisis de políticas, responsabilidades, recursos y liderazgo.
• Evaluación del proceso de gestión del riesgo: verificación de cómo se identifican, analizan, evalúan, tratan y monitorean los riesgos.
• Entrevistas a personal clave: para conocer el grado de conocimiento, implicación y aplicación práctica del enfoque de riesgo.
• Análisis documental: comprobación de matrices de riesgos, informes, indicadores, incidentes y lecciones aprendidas.
• Informe de auditoría: con hallazgos, evidencias, recomendaciones y propuestas de mejora.

Buenas prácticas para una auditoría efectiva

Para maximizar el valor de una Auditoría ISO 31000, es recomendable:

• Enfocar la auditoría desde una visión estratégica y no solo técnica.
• Utilizar métodos mixtos: entrevistas, análisis de datos, corrección documental.
• Incluir indicadores de desempeño asociados a la gestión del riesgo.
• Promover la participación activa de la alta dirección.
• Asegurar la continuidad del proceso mediante auditorías periódicas.

El papel de la tecnología en la auditoría de riesgos

Hoy en día, las auditorías no deben depender exclusivamente de procesos manuales. La tecnología permite centralizar información, reducir errores humanos, generar reportes automáticos y establecer alertas. En este sentido, el uso de plataformas especializadas como ISOTools puede marcar una diferencia clave.

El valor del Software ISO 31000 de ISOTools

El Software ISO 31000 de ISOTools ha sido desarrollado específicamente para facilitar la implementación y evaluación de sistemas de gestión del riesgo alineados con esta norma internacional. A través de su entorno intuitivo y configurable, permite a las organizaciones mapear, evaluar y dar seguimiento a sus riesgos de forma estructurada y eficiente. El software integra herramientas de análisis cualitativo y cuantitativo, modelos de valoración y flujos de trabajo para asegurar que todas las etapas del proceso de gestión del riesgo estén cubiertas y documentadas.

Además, el módulo de auditoría integrado permite planificar auditorías internas o externas, asignar responsables, capturar evidencias en tiempo real y generar informes automáticos. Esto no solo ahorra tiempo y recursos, sino que aumenta la fiabilidad y trazabilidad del sistema de gestión del riesgo. En definitiva, el Software ISO 31000 de ISOTools se convierte en un aliado estratégico para fortalecer la cultura preventiva, la transparencia y la toma de decisiones basada en evidencias.

Cada decisión empresarial encierra un riesgo, desde lanzar un nuevo producto hasta elegir un proveedor. Lo que marca la diferencia entre el éxito sostenido y el fracaso inesperado es la capacidad de gestionarlos con inteligencia. Frente a esta realidad, la norma ISO 31000 se convierte en un faro para las organizaciones que buscan, además de prevenir crisis, convertir la incertidumbre en oportunidad.

Más que una simple guía, ISO 31000 propone un enfoque estratégico para integrar la gestión del riesgo en la cultura, los procesos y la toma de decisiones. En este artículo desglosamos los principales ISO 31000 requisitos, aquellos lineamientos clave que permiten construir un sistema de gestión del riesgo eficaz, coherente y adaptable.

¿Qué es la norma ISO 31000?

La ISO 31000 es una norma internacional publicada por la Organización Internacional de Normalización (ISO), que proporciona principios, un marco y un proceso para gestionar riesgos en todo tipo de organizaciones, independientemente de su tamaño, sector o ubicación geográfica.

A diferencia de otras normas como la ISO 9001 o la ISO 27001, ISO 31000 no es certificable, ya que su objetivo no es imponer requisitos formales, sino ofrecer directrices adaptables y universales para mejorar la gestión del riesgo. No obstante, adoptar sus recomendaciones se traduce en una mayor resiliencia, toma de decisiones informadas y cumplimiento normativo.

Principios fundamentales de la gestión del riesgo según ISO 31000

Uno de los elementos esenciales de esta norma son los principios de la gestión del riesgo, los cuales constituyen la base sobre la que debe estructurarse cualquier enfoque. La norma identifica un conjunto de 11 principios clave, entre los que destacan:

• Crear y proteger valor mediante la gestión del riesgo.

• Integrarse en los procesos organizativos, en lugar de funcionar como un sistema independiente.

• Formar parte de la toma de decisiones estratégicas y operativas.

• Abordar explícitamente la incertidumbre.

• Estar basada en la mejor información disponible, incluyendo datos históricos, previsiones, y opiniones de expertos.

• Ser personalizada al contexto interno y externo de la organización.

Estos principios deben estar presentes en todas las fases del proceso, asegurando que la gestión del riesgo sea coherente, estructurada y adaptada a la realidad de cada entidad.

ISO 31000 requisitos: marco y proceso de gestión del riesgo

Aunque la ISO 31000 no establece requisitos certificables, sí define con claridad los componentes esenciales que toda organización debe integrar para implementar un sistema eficaz. Estos elementos pueden entenderse como los ISO 31000 requisitos funcionales.

Diseño del marco de gestión del riesgo

El marco (framework) permite integrar la gestión del riesgo en la estructura y cultura organizativa. Este debe incluir:

• Liderazgo y compromiso de la alta dirección.

• Asignación clara de roles y responsabilidades.

• Integración con procesos estratégicos, financieros y operativos.

• Asignación de recursos adecuados.

• Evaluación periódica del marco y su mejora continua.

Un marco bien diseñado asegura que la gestión del riesgo no sea una tarea aislada, sino una práctica transversal alineada con la estrategia empresarial.

Proceso de gestión del riesgo

El proceso de gestión definido en la norma consta de varias etapas fundamentales, cada una de las cuales constituye un requisito esencial para el cumplimiento de la ISO 31000:

1. Establecimiento del contexto

Antes de identificar los riesgos, es necesario definir el contexto interno y externo, así como los criterios de evaluación. Esto incluye aspectos legales, regulatorios, económicos, tecnológicos y culturales que puedan influir en los objetivos de la organización.

2. Identificación de riesgos

Consiste en detectar eventos, situaciones o factores que podrían afectar el logro de los objetivos. La identificación debe ser sistemática y basada en información actualizada y multidisciplinar.

3. Análisis del riesgo

En esta fase se evalúan las consecuencias y la probabilidad de ocurrencia de cada riesgo, así como los factores que pueden influir en su severidad.

4. Evaluación del riesgo

Se comparan los resultados del análisis con los criterios establecidos para priorizar los riesgos que requieren tratamiento inmediato.

5. Tratamiento del riesgo

Se seleccionan estrategias para reducir, eliminar, compartir o aceptar los riesgos, según su naturaleza y el apetito al riesgo de la organización.

6. Seguimiento y revisión

El sistema debe monitorearse continuamente para asegurar que sigue siendo eficaz y responde a los cambios del entorno.

7. Comunicación y consulta

Es fundamental establecer canales de comunicación bidireccionales con todas las partes interesadas, tanto internas como externas, para facilitar la comprensión de los riesgos y promover una cultura organizativa coherente.

La norma ISO 31000 se convierte en un faro para las organizaciones que buscan, además de prevenir crisis, convertir la incertidumbre en oportunidad.
Compartir en X

Beneficios de cumplir con los ISO 31000 requisitos

Implementar los requisitos funcionales de la norma ISO 31000 aporta beneficios estratégicos y operativos de gran valor:

• Mejora la toma de decisiones basada en el análisis del riesgo.

• Favorece el cumplimiento normativo y reduce la exposición a sanciones.

• Fomenta una cultura organizacional orientada a la anticipación y la prevención.

• Optimiza el uso de recursos al priorizar acciones basadas en riesgos reales.

• Refuerza la confianza de inversores, clientes y partes interesadas.

El Software ISO 31000 de ISOTools: tecnología al servicio de la gestión del riesgo

Para que los ISO 31000 requisitos se traduzcan en resultados reales, las organizaciones necesitan herramientas tecnológicas que faciliten la implementación, seguimiento y mejora de su sistema de gestión del riesgo. En este sentido, el Software ISO 31000 de ISOTools se presenta como una solución integral, flexible y totalmente alineada con la norma.

La plataforma permite automatizar cada fase del proceso de gestión del riesgo, desde la identificación hasta el tratamiento y monitoreo, generando informes en tiempo real, matrices de riesgo dinámicas y alertas personalizadas. Gracias a su interfaz intuitiva, facilita la colaboración entre departamentos, reduce la carga documental y asegura la trazabilidad completa de todas las decisiones.

Con ISOTools, las organizaciones cumplen con los lineamientos de la norma, y además, transforman su gestión del riesgo en una ventaja competitiva sostenible. El software ha sido diseñado para adaptarse a sectores y tamaños diversos, ofreciendo escalabilidad, seguridad de la información y cumplimiento normativo.

La incertidumbre es una constante en el entorno empresarial ahora y siempre. Ya sea por factores económicos, tecnológicos, sociales o regulatorios, las empresas enfrentan riesgos que pueden impactar sobre sus objetivos de forma significativa. En este contexto, la ISO 31000 certificación emerge como una herramienta estratégica que permite a las organizaciones abordar la gestión del riesgo de manera estructurada, eficiente y alineada con las mejores prácticas internacionales.

A continuación, vamos a explorar la norma ISO 31000, qué implica su certificación, cuáles son los beneficios que aporta y cómo ISOTools puede convertirse en el aliado perfecto para implementar y mantener un sistema de gestión de riesgos robusto y personalizado.

¿Qué implica la certificación en ISO 31000?

Aunque ISO 31000 no es certificable directamente, muchas empresas buscan demostrar su compromiso con la gestión del riesgo a través de certificaciones basadas en esta norma dirigidas a profesionales o a sistemas de gestión de riesgos empresarial.

Existen 2 enfoques principales en torno a la ISO 31000 certificación:

Certificación de profesionales

Dirigida a personas que desean validar sus competencias en gestión de riesgos conforme a la norma. Esta opción suele incluir niveles como:

• Fundamentos: comprensión básica de los principios y conceptos.
• Implementador: capacidad para liderar la implementación del marco de gestión de riesgos.
• Auditor líder: evaluación y auditoría de sistemas de gestión de riesgos conforme a ISO 31000.

Certificación del sistema de gestión de riesgos

Aunque no existe una certificación ISO 31000 propiamente dicha para sistemas, algunos esquemas de certificación utilizan esta norma como base técnica para auditar el diseño, implementación y mantenimiento de un sistema de gestión de riesgos organizacional.

Organizaciones certificadoras evalúan si la compañía:

• Ha integrado el riesgo en sus procesos de toma de decisiones.
• Ha definido criterios y metodologías para evaluar la gestión de riesgos.
• Cuenta con registros, análisis y planes de tratamiento documentados.
• Asegura la mejora continua del proceso de gestión del riesgo.

Beneficios de una gestión del riesgo basada en ISO 31000

Implementar un enfoque estructurado de gestión del riesgo, alineado con ISO 31000, trae consigo una serie de beneficios estratégicos, operativos y reputacionales, como son los siguientes:

1. Mejora en la toma de decisiones 

Una gestión del riesgo eficaz proporciona información clara, precisa y oportuna sobre amenazas y oportunidades, lo que permite a los líderes tomar decisiones fundamentadas y alineadas con los objetivos estratégicos.

2. Incremento de la resiliencia empresarial

ISO 31000 fortalece la capacidad de adaptación de la organización frente a eventos inesperados, asegurando la continuidad operativa y reduciendo los impactos negativos.

3. Optimización del uso de recursos

La identificación y evaluación de riesgos permite asignar recursos dando prioridad, concentrando esfuerzos en las áreas de mayor exposición y evitando duplicidades o sobrecostes.

4. Cumplimiento normativo y reputacional

Muchos marcos regulatorios, como la Ley de Responsabilidad Penal Corporativa, el RGPD o los marcos de cumplimiento ambiental, requieren enfoques preventivos. ISO 31000 facilita el cumplimiento y mejora la percepción ante clientes, socios y autoridades.

5. Reducción de pérdidas e incidentes

Una gestión del riesgo bien estructurada anticipa situaciones que podrían derivar en accidentes, errores financieros, fallos técnicos o impactos reputacionales. Prevenir es siempre menos costoso que corregir.

6. Integración con otros sistemas de gestión

ISO 31000 es totalmente compatible con otras normas como ISO 9001, ISO 14001, ISO 45001 o ISO 27001, permitiendo sinergias e integración dentro de un sistema de gestión global y coordinado.

Implementar un enfoque estructurado de gestión del riesgo, alineado con ISO 31000, trae consigo una serie de beneficios estratégicos, operativos y reputacionales.
Compartir en X

¿Quién debería adoptar ISO 31000?

Esta norma es aplicable a cualquier empresa, independientemente de su sector o tamaño. No obstante, es muy útil para:

• Organizaciones multinacionales con operaciones complejas y diversos riesgos geográficos, regulatorios y reputacionales.
• Instituciones financieras y aseguradoras, con una gran exposición a riesgos estratégicos y operacionales.
• Entidades públicas que necesitan transparencia, rendición de cuentas y prevención de riesgos institucionales.
• Organizaciones tecnológicas, donde los riesgos vinculados a ciberseguridad, innovación y cumplimiento regulatorio son críticos.
• Pymes que desean profesionalizar su gestión y ganar competitividad frente a grandes actores del mercado.

¿Cómo implementar un sistema de gestión de riesgos basado en ISO 31000?

Implementar un sistema conforme a ISO 31000 puede abordarse en las siguientes etapas:

1. Compromiso de la dirección: establecer políticas, objetivos y liderazgo claro.
2. Evaluar el contexto: interno, externo y de partes interesadas.
3. Identificación de riesgos: eventos, causas y consecuencias potenciales.
4. Análisis y evaluación: determinar niveles de probabilidad e impacto.
5. Tratamiento del riesgo: selección de acciones para mitigar, transferir o aceptar riesgos.
6. Comunicación y consulta: interna y externa, de forma permanente.
7. Monitoreo y revisión: indicadores, auditorías y acciones correctivas.
8. Mejora continua: aprendizaje empresarial y ajustes en el sistema.

Certificarse en ISO 31000: pasos clave

Si tu empresa quiere certificarse en la gestión del riesgo basada en ISO 31000, los pasos son los siguientes:

1. Diagnóstico inicial: evaluar el estado actual frente a los requisitos de la norma.
2. Diseño del sistema: documentar políticas, procedimientos y metodologías de análisis de riesgo.
3. Implementar: formación, comunicación, pruebas y aplicación del sistema.
4. Auditoría interna: verificación previa al proceso de certificación.
5. Auditoría externa: hecha por un organismo certificador.
6. Obtención del certificado: válido por 3 años, con auditorías de seguimiento anuales.

¿Por qué ISOTools es el software para la gestión del riesgo?

En la era de la transformación digital, contar con una plataforma tecnológica que facilite la gestión del riesgo es una necesidad. El software ISOTools es la opción preferida por cientos de empresas a nivel mundial.

1. Software fácil y personalizable

ISOTools se adapta a tu forma de trabajar. Su interfaz intuitiva y sus flujos de trabajo personalizables permiten ajustar el software para ISO 31000 de gestión del riesgo exactamente a tus necesidades, sin complicaciones ni desarrollos a medida innecesarios.

2. Solo pagas por lo que usas

Uno de los grandes beneficios de ISOTools es su modelo modular: incluyes solo las aplicaciones que realmente necesitas, lo que reduce costes y evita la complejidad operativa. Desde matrices de riesgo hasta planes de acción, puedes escalar tu sistema conforme crece tu organización.

3. Sin sorpresas en el precio

El soporte está incluido en el coste del software. Esto significa que no tendrás cargos ocultos ni sobrecostes inesperados por asistencia, actualizaciones o configuración. Un modelo transparente y justo, ideal para empresas que buscan control presupuestario.

4. Consultores expertos a tu lado

Con ISOTools no estás solo. Dispones de un equipo de consultores expertos en gestión de riesgos que te acompañan en el día a día, resolviendo dudas, optimizando procesos y asegurando que tu sistema evolucione conforme a las mejores prácticas del mercado.

5. Alineación total con ISO 31000

La plataforma ISOTools ha sido diseñada para alinearse con los principios, marco y proceso de la norma ISO 31000, facilitando auditorías internas, cumplimiento y mejora continua.

Adoptar un enfoque basado en la ISO 31000 certificación mejora la gestión del riesgo y fortalece la estructura organizativa, desde la toma de decisiones hasta la resiliencia operativa. Y con ISOTools, el camino hacia una gestión del riesgo profesional, digital y sin complicaciones está más cerca que nunca.

¿Estás listo para convertir el riesgo en una ventaja competitiva?

El proyecto de norma ISO/DIS 37009 aborda un desafío crucial en el ámbito organizacional: la gestión de los conflictos de interés dentro de los sistemas para gestionar los riesgos y la seguridad. Aunque los conflictos de interés son comunes en las organizaciones, gestionarlos adecuadamente es esencial para mantener la ética y la integridad en el trabajo. Esta futura norma proporciona una estructura completa para identificar, gestionar y resolver los conflictos de interés, promoviendo la transparencia y la confianza tanto en el sector público como privado.

ISO/DIS 37009

ISO/DIS 37009, que significa Draft International Standard o borrador de norma internacional, está diseñado para convertirse en una referencia global para la gestión de conflictos de interés en las organizaciones. Esta norma establece directrices claras para el manejo ético y proactivo de situaciones en las que los intereses personales o de grupo podrían afectar la toma de decisiones organizacionales.

El contenido del proyecto ISO/DIS 37009 abarca:

1. Definiciones clave: Especifica qué se entiende por conflictos de interés, desde los conflictos personales hasta los institucionales.
2. Principios de gestión: Promueve principios de transparencia, integridad y responsabilidad para prevenir y mitigar estos conflictos.
3. Procedimientos recomendados: Detalla pasos específicos para identificar y gestionar conflictos de interés, incluyendo la creación de políticas internas y la formación de los equipos.

ISO/DIS 37009: ¿Por qué es relevante para el sector empresarial?

Los conflictos de interés, aunque a menudo son percibidos como inevitables, representan un riesgo significativo para las empresas de todos los tamaños. Una mala gestión de estos conflictos puede dañar la reputación corporativa, disminuir la confianza de los inversores y provocar problemas legales y éticos. Por ello, adoptar la norma ISO/DIS 37009 permite que las empresas establezcan una estrategia para actuar con integridad y mantener relaciones transparentes y confiables.

ISO/DIS 37009 ayuda a las empresas a:

• Aumentar la confianza de sus clientes, empleados y otros stakeholders.
• Minimizar riesgos de corrupción y malas prácticas.
• Fortalecer la cultura organizacional, al fomentar políticas claras que protejan la imparcialidad y la equidad en las decisiones.

Cómo la gestión de riesgos según ISO 31000 apoya la implementación de ISO/DIS 37009

La gestión de conflictos de interés se vincula de manera natural con la gestión de riesgos, ya que estos conflictos representan una amenaza potencial para la estabilidad y la integridad de la organización. Aquí es donde el uso de ISO 31000 – Gestión del riesgo puede complementar los esfuerzos de ISO/DIS 37009. La implementación de un software especializado en la gestión de riesgos, como el Software ISO 31000 de ISOTools, ofrece una ventaja para las organizaciones en el sector empresarial.

Ventajas de usar un Software de Gestión de Riesgos ISO 31000 de ISOTools

Implementar ISO 31000 a través de un software especializado permite a las empresas:

1. Identificación automatizada de riesgos: El software permite mapear y analizar riesgos específicos, como los conflictos de interés, facilitando su identificación y gestión.
2. Monitoreo en tiempo real: Con una herramienta digital, los equipos pueden rastrear en tiempo real los riesgos relacionados con conflictos de interés, permitiendo una respuesta rápida y eficaz.
3. Documentación y trazabilidad: Los procesos y decisiones quedan registrados, asegurando transparencia y facilitando la auditoría en caso de investigaciones o revisiones internas.
4. Capacitación y sensibilización: Al integrar funciones de formación y concienciación, el software contribuye a educar a los equipos sobre la importancia de gestionar los conflictos de interés y de actuar de forma ética.

ISO/DIS 37009, que significa Draft International Standard o borrador de norma internacional, está diseñado para convertirse en una referencia global para la gestión de conflictos de interés en las organizaciones.
Compartir en X

¿Por qué integrar ISO/DIS 37009 con un Software ISO 31000?

En el entorno empresarial actual, la tecnología juega un papel fundamental en el cumplimiento normativo y la mitigación de riesgos. Un software de gestión de riesgos ISO 31000 ayuda a implementar la norma ISO/DIS 37009 de forma más efectiva y sostenible, ya que optimiza los recursos, garantiza el cumplimiento en toda la organización y facilita la toma de decisiones basada en datos.

La combinación de ISO/DIS 37009 con un software como el de ISOTools permite a las organizaciones mejorar su cultura ética, reducir posibles sanciones y fortalecer su posición en el mercado al demostrar un compromiso real con la integridad y la transparencia.

Software de Gestión de Riesgos ISO 31000: ISOTools

El proyecto ISO/DIS 37009 es una respuesta a la creciente necesidad de gestionar los conflictos de interés en las organizaciones de manera estructurada y transparente. Su implementación, junto con un Software de Gestión de Riesgos ISO 31000, como el ofrecido por ISOTools, no solo permite cumplir con las mejores prácticas, sino que refuerza la confianza, el respeto y la sostenibilidad en las relaciones empresariales.

En un mundo donde la ética y la transparencia son valoradas cada vez más, adoptar estos estándares puede significar una ventaja competitiva fundamental para las organizaciones comprometidas con la excelencia y la responsabilidad. ISOTools, además, es una plataforma tecnológica comprometida con la innovación y apuesta por la transformación digital, por ello, ahora incluye Inteligencia Artificial entre sus soluciones. Contacta con nosotros para obtener más información sin compromiso.

Lista de chequeo ISO 31000

La gestión de riesgos es un aspecto crucial para cualquier organización que busca operar de manera eficiente y alcanzar sus objetivos de manera efectiva. La norma ISO 31000 proporciona un marco internacionalmente reconocido para la gestión de riesgos, estableciendo principios, procesos y directrices que pueden aplicarse a cualquier tipo de organización en cualquier sector. A continuación, exploraremos en detalle una lista de chequeo basada en la norma ISO 31000 para ayudar a las organizaciones a implementar un sistema de gestión de riesgos sólido y efectivo.

1. Comprensión del contexto en la lista de chequeo ISO 31000

Antes de embarcarse en el proceso de gestión de riesgos, es fundamental que la organización comprenda plenamente su contexto operativo. Esto implica identificar factores internos y externos que podrían influir en su capacidad para alcanzar sus objetivos estratégicos. Algunas preguntas clave a considerar incluyen:

• ¿Cuáles son los objetivos estratégicos de la organización?
• ¿Qué factores internos podrían afectar la capacidad de la organización para alcanzar sus objetivos?
• ¿Qué tendencias externas podrían representar oportunidades o amenazas para la organización?

2. Compromiso de la dirección en la lista de chequeo ISO 31000

El compromiso y el liderazgo de la alta dirección son esenciales para el éxito de cualquier proceso de gestión de riesgos. La dirección debe demostrar su apoyo al proceso de gestión de riesgos y asignar los recursos necesarios para su implementación efectiva. Esto podría incluir la designación de un equipo de gestión de riesgos, la provisión de capacitación adecuada y la asignación de presupuesto para actividades relacionadas con la gestión de riesgos.

3. Establecimiento del alcance

Es fundamental definir claramente el alcance del proceso de gestión de riesgos. Esto implica identificar los límites del proceso, los objetivos a alcanzar y los criterios para evaluar los riesgos. Algunas consideraciones importantes podrían incluir:

• ¿Qué áreas de la organización están incluidas en el proceso de gestión de riesgos?
• ¿Cuáles son los objetivos específicos del proceso de gestión de riesgos?
• ¿Qué criterios se utilizarán para evaluar y priorizar los riesgos?

4. Identificación de riesgos

El primer paso en el proceso de gestión de riesgos es la identificación de todos los riesgos que podrían afectar a la organización en la consecución de sus objetivos. Esto podría incluir riesgos internos, como problemas operativos o de recursos humanos, así como riesgos externos, como cambios en el entorno regulatorio o económico. Es importante involucrar a todas las partes interesadas relevantes en este proceso y utilizar una variedad de técnicas, como entrevistas, talleres y análisis documental, para identificar los riesgos de manera efectiva.

5. Análisis de riesgos

Una vez que se han identificado los riesgos, es necesario analizar su probabilidad de ocurrencia y su impacto potencial en la organización. El análisis de riesgos puede llevarse a cabo utilizando técnicas cualitativas, como la matriz de riesgos, o técnicas cuantitativas, como el análisis probabilístico. El objetivo es obtener una comprensión clara de la naturaleza y el alcance de cada riesgo para poder tomar decisiones informadas sobre su gestión.

6. Evaluación de Riesgos

Una vez que se han analizado los riesgos, es necesario evaluar su magnitud para determinar cuáles requieren tratamiento prioritario. Esto implica comparar el nivel de riesgo con los criterios predefinidos, como umbrales de tolerancia al riesgo o criterios de impacto financiero. La evaluación de riesgos permite a la organización priorizar sus esfuerzos de gestión de riesgos y asignar recursos de manera efectiva.

7. Tratamiento de Riesgos

Una vez que se han evaluado los riesgos, es necesario decidir cómo se van a gestionar. Esto puede implicar evitar, mitigar, transferir o aceptar el riesgo, dependiendo de las circunstancias y los recursos disponibles. El objetivo es desarrollar estrategias de gestión de riesgos efectivas que permitan a la organización minimizar el impacto de los riesgos identificados en sus objetivos estratégicos.

8. Monitoreo y Revisión

El proceso de gestión de riesgos no es estático y debe ser continuamente monitoreado y revisado para asegurar su efectividad y relevancia continua. Esto implica establecer mecanismos de seguimiento y control para supervisar la implementación de las estrategias de gestión de riesgos y revisar periódicamente la eficacia de dichas estrategias. El monitoreo y la revisión permiten a la organización adaptarse a los cambios en su entorno operativo y asegurar que su proceso de gestión de riesgos siga siendo robusto y efectivo a lo largo del tiempo.

Una lista de chequeo basada en la norma ISO 31000 puede servir como una guía imprescindible para las organizaciones que buscan implementar un proceso de gestión de riesgos efectivo. Al seguir los pasos delineados en esta lista de chequeo, las organizaciones pueden mejorar su capacidad para identificar, evaluar y gestionar los riesgos de manera proactiva, lo que les permite proteger y mejorar el valor de la organización a largo plazo.

Beneficios de utilizar una lista de verificación ISO 31000

Contar con una lista de verificación basada en la norma ISO 31000 es clave para aplicar de forma estructurada y coherente los principios de gestión de riesgos. Facilita el seguimiento, la evaluación del sistema y permite a las empresas garantizar que cada componente esencial del marco se está bien abordando. A continuación, se presentan los principales beneficios de su implementación:

Mejor toma de decisiones

Una checklist bien diseñada permite evaluar si se están considerando los elementos críticos del contexto, los riesgos relevantes y las medidas de control adecuadas. Esto proporciona una base sólida para la toma de decisiones informadas, alineadas con los objetivos estratégicos y operativos de la organización.

Menos incertidumbre

Al revisar cada aspecto del proceso de gestión de riesgos, se reduce la posibilidad de omitir factores clave que puedan generar impactos negativos. Esto mejora la capacidad para anticipar escenarios adversos y fortalece la resiliencia frente a situaciones imprevistas.

Eficiencia

Una lista de verificación aporta claridad y orden al proceso, evitando duplicidades, omisiones y esfuerzos innecesarios. Establece una ruta clara de verificación que optimiza el uso de recursos y facilita la coordinación entre diferentes áreas involucradas en la gestión del riesgo.

Cumplimiento normativo

La checklist actúa como una guía práctica para verificar que se cumplen los principios, el marco de trabajo y el proceso definidos en la ISO 31000. De este modo, la empresa asegura la alineación con estándares internacionales, normativas regulatorias o requisitos sectoriales, incluso si la norma no es certificable.

Plataforma tecnológica líder: ISOTools

Descubre ISOTools, la plataforma tecnológica líder en gestión de riesgos conforme al software ISO 31000. Con nuestra solución, las organizaciones pueden simplificar y optimizar todo el proceso de gestión de riesgos, desde la identificación hasta el monitoreo continuo. Con funciones intuitivas y herramientas poderosas, ISOTools permite a las empresas gestionar eficientemente sus riesgos, asegurando el cumplimiento de los estándares internacionales y fortaleciendo su capacidad para tomar decisiones informadas y estratégicas.

Factores que pueden afectar significativamente a la empresa

Las diferentes compañías, afrontan una sucesión de desafíos en constante progreso. La incertidumbre, la globalización, los cambios tecnológicos rápidos y las crisis inesperadas son solo algunos de los factores que pueden afectar significativamente la operación y la viabilidad de una empresa. En este contexto, contar con un sistema efectivo de gestión de riesgos se vuelve esencial para la supervivencia y el éxito a largo plazo. La norma ISO 31000 surge como una herramienta valiosa para preparar a las empresas ante estos desafíos futuros.

La ISO 31000 es un estándar internacional que proporciona principios y directrices para la gestión de riesgos. Publicada por la Organización Internacional de Normalización (ISO), esta norma busca ayudar a las organizaciones a desarrollar un enfoque sistemático y efectivo para identificar, evaluar y gestionar los riesgos que enfrentan.

Identificación y Evaluación de Riesgos:

Uno de los aspectos fundamentales de la ISO 31000 es la identificación y evaluación de riesgos. Este proceso implica analizar tanto las amenazas como las oportunidades que pueden afectar los objetivos de la organización. Al comprender los riesgos potenciales, las empresas pueden anticipar y prepararse para una variedad de escenarios futuros.

Integración en la Estrategia Empresarial:

La norma ISO 31000 aboga por la integración de la gestión de riesgos en la estrategia empresarial. En lugar de ver la gestión de riesgos como un proceso aislado, se fomenta su incorporación en todas las áreas y niveles de la organización. Esto garantiza que la toma de decisiones estratégicas esté informada por una comprensión profunda de los riesgos asociados.

Cultura de Riesgo:

Para que la gestión de riesgos sea verdaderamente efectiva, es crucial fomentar una cultura de riesgo en toda la organización. La ISO 31000 destaca la importancia de crear conciencia sobre los riesgos y promover una mentalidad proactiva en la gestión de estos. Esto implica no solo la participación de los líderes empresariales, sino también la capacitación y la participación de todos los miembros del equipo.

Beneficios de implementar la ISO 31000

La adopción de la ISO 31000 conlleva una serie de beneficios significativos para las empresas que buscan prepararse para los desafíos futuros.

·         Mejora la toma de decisiones:

Al tener una comprensión clara de los riesgos, los líderes empresariales están mejor equipados para tomar decisiones informadas. La gestión de riesgos basada en la ISO 31000 proporciona datos y análisis que respaldan la toma de decisiones estratégicas y tácticas.

·         Aumenta la resiliencia organizacional:

La incertidumbre es una constante en el entorno empresarial. La ISO 31000 ayuda a las empresas a construir resiliencia, permitiéndoles anticipar y adaptarse a cambios inesperados. Al identificar y abordar proactivamente los riesgos, las organizaciones pueden minimizar el impacto negativo de eventos imprevistos.

·         Fortalece la confianza de las partes interesadas

Los clientes, inversionistas y otras partes interesadas valoran cada vez más la transparencia y la responsabilidad en la gestión empresarial. La implementación de la ISO 31000 demuestra un compromiso serio con la gestión de riesgos, lo que puede fortalecer la confianza y la credibilidad de la organización.

·         Cumplimiento Normativo:

En muchos casos, el cumplimiento normativo es un requisito clave para las empresas. La ISO 31000 proporciona un marco que ayuda a las organizaciones a cumplir con los requisitos legales y regulatorios relacionados con la gestión de riesgos.

Desafíos en la Implementación

A pesar de los beneficios evidentes, la implementación de la ISO 31000 no está exenta de desafíos. La resistencia al cambio, la falta de recursos y la complejidad organizativa pueden obstaculizar el proceso. Sin embargo, superar estos desafíos es esencial para aprovechar al máximo los beneficios que ofrece la norma.

Para enfatizar, la implementación de la norma ISO 31000 emerge como una estrategia clave para preparar a las empresas frente a los desafíos futuros. Este estándar proporciona un marco sólido para la gestión de riesgos, permitiendo a las organizaciones anticipar, evaluar y abordar tanto las amenazas como las oportunidades que pueden surgir en un entorno empresarial en constante cambio.

Al adoptar la ISO 31000, las empresas pueden mejorar significativamente su capacidad para tomar decisiones informadas, fortalecer la resiliencia organizacional y construir la confianza de las partes interesadas. La identificación y evaluación sistemáticas de riesgos no solo ayudan a minimizar los impactos negativos de eventos inesperados, sino que también permiten capitalizar proactivamente oportunidades emergentes.

Es crucial destacar que la implementación de la ISO 31000 no está exenta de desafíos, y superar la resistencia al cambio y asignar los recursos adecuados son aspectos fundamentales. Sin embargo, al abordar estos desafíos, las empresas pueden transformar la gestión de riesgos en una parte integral de su cultura organizacional, posicionándose de manera óptima para afrontar los retos que el futuro pueda presentar.

La ISO 31000 no solo se convierte en una herramienta esencial para la supervivencia, sino también en un diferenciador competitivo. Aquellas organizaciones que adoptan este enfoque proactivo hacia la gestión de riesgos no solo se preparan para los desafíos venideros, sino que también construyen una base sólida para la innovación, la adaptabilidad y el crecimiento sostenible en un panorama empresarial en constante evolución.

Solución integral basada en el software ISO 31000

Prepara a tu empresa para los desafíos futuros con ISOTools. La norma ISO 31000 establece los estándares para la gestión de riesgos, y nuestra plataforma aprovecha esta normativa para brindarte una herramienta robusta que fortalecerá la resiliencia de tu organización.

Desde la identificación proactiva de riesgos hasta la implementación de estrategias de mitigación, ISOTools proporciona una solución integral que promueve la toma de decisiones informadas. Con nuestra plataforma, estarás un paso adelante en la gestión de riesgos, asegurando la preparación y sostenibilidad de tu empresa frente a los retos emergentes. ¡Descubre hoy mismo cómo ISO 31000 puede potenciar el futuro de tu organización!

ISO 31000 ofrece un enfoque integral para gestionar el riesgo en cualquier tipo de empresa, proporcionando principios, una estructura de apoyo y un proceso claro que permite anticiparse a la incertidumbre, reducir amenazas y aprovechar oportunidades. Este marco  facilita la toma de decisiones informadas, promueve la mejora continua, la resiliencia empresarial y la integración del riesgo en todos los niveles estratégicos y operativos, sin requerir certificación formal.

Resumen de la norma ISO 31000 

A quién va dirigida

La norma ISO 31000 está dirigida a cualquier organización, pública o privada, independientemente de su tamaño, sector o nivel de madurez en la gestión de riesgos. Su enfoque flexible y adaptable la convierte en una herramienta útil tanto para grandes corporaciones como para pequeñas y medianas empresas, entidades gubernamentales, organizaciones sin ánimo de lucro e incluso proyectos individuales que requieran una gestión estructurada del riesgo.

Además, ISO 31000 es especialmente relevante para:

• Altos directivos y líderes estratégicos, que necesitan integrar el riesgo en los procesos de toma de decisiones.

• Responsables de cumplimiento, control interno y auditoría, que buscan alinear sus prácticas con un estándar internacional reconocido.

• Gerentes de proyectos, jefes de área y mandos medios, que requieren una guía clara para identificar, evaluar y tratar los riesgos operativos en sus funciones diarias.

• Consultores y profesionales de gestión de riesgos, que utilizan la norma como marco de referencia para diseñar, implementar o evaluar sistemas eficaces.

• Sectores regulados, como el financiero, energético, salud o infraestructura crítica, donde la gestión del riesgo es un requisito clave para la sostenibilidad y el cumplimiento normativo.

Qué es

La ISO 31000 es una norma internacional cuyo objetivo es la gestión del riesgo. Al suministrar los  elementos integrales y orientaciones, esta norma es de bastante utilidad y  a las organizaciones con sus análisis y evaluaciones de riesgos.

Sea que trabaje en entidades públicas, privadas o comunitarias, se logran beneficiar de ISO 31000, porque esta norma es aplicada a la mayoría de las actividades de comercio, donde incluye la planeación, las operaciones de gestión y los procesos de la comunicación. Todas organizaciones manejan el riesgo en cierta medida, las recomendaciones de las mejores prácticas de esta norma internacional se desenvolvieron para mejorar las técnicas de gestión y así garantizar la seguridad y la protección en todo momento en el área de trabajo.

Las diferentes organizaciones afrontan de manera constante a imprevistos de todo tipo, pueden ser económicos, técnicos o estratégicos. Las organizaciones no pueden eliminar estos riesgos sin más, sino que tienen que contender con ellos. Los Software de Gestión de Riesgos suministran directivas y procesos que indican como toma decisiones en situaciones de riesgo para limitar los daños potenciales lo mejor posible. Hay que tener en cuenta que la norma ISO 31000 no considera todos los riesgos como negativos, sino que, de acuerdo a esta, también hay riesgos positivos. Es más, siempre que surja la perplejidad de que un acontecimiento futuro pueda provocar que la empresa se desvíe de sus objetivos, se hablará de un riesgo.

Al ejecutar la implementación, los principios y directivas de la ISO 31000 en su organización, tendrá la capacidad  de mejorar la eficiencia operacional, gobernanza y confianza de las partes interesadas, a su vez que minimiza las pérdidas. Esta norma internacional también le ayuda a impulsar el desempeño de salud y seguridad, establecer un dinámico fundamento para la toma de decisiones e incitar la gestión proactiva en todas las áreas.

Principios

A continuación se detallan los principios de la gestión de riesgos

• Implementar un valor: hace que sea sencillo el cumplimiento de los objetivos que se plantean y de los requisitos legales que se asocian a la seguridad, salud laboral, protección ambiental, entre otros.
• Integración en los procesos de la organización: No es una gestión que se realiza separadamente, por el contrario, está implicada en las diversas actividades primordiales de la organización.
• Toma de decisiones: Accede a que se tomen decisiones asociadas a los procedimientos de prevención u opciones que se lograrán en práctica para la gestión de riesgos.
• Trata la incertidumbre: Se orienta en los aspectos que son inseguros y de la forma en que correspondería tratar.
• Sistemática, estructurada y adecuada: Accede que se dé un desempeño eficaz y que se puedan conseguir los resultados confiables.
• Se basa en la información disponible: Se basan en fuentes de información confiables como lo son la experiencia, el análisis y las opiniones de los expertos.
• Hecha a la medida: Se orienta de forma directa con los objetivos internos y externos de la empresa.
• Resalta factores humanos y culturales: Concibe en la importancia de los colaboradores y personas implicadas en el proyecto por medio del cual pueden facilitar o dificultar la operación.
• Transparencia e incluyente: La colaboración del público de interés accede a que la gestión del riesgo esté siempre actualizada.
• Dinámica, iterativa y sensible al cambio: Es significativo que las organizaciones conciban que las tendencias cambian y su entorno también, por lo que deben estar dispuestos para adaptarse.
• Mejora continua de la organización: Es significativo entender que las organizaciones deben trazar estrategias para optimar en cada uno de sus aspectos, no únicamente en la gestión de riesgos.

Ventajas

A continuación se detallan las ventajas y beneficios de ISO 31000

• Ayuda a que las gestiones sean proactivas.
• Accede a entender la importancia de identificar, analizar, monitorear y tratar el riesgo en cada uno de sus períodos.
• Ayuda a que se puedan identificar las debilidades, amenazas, oportunidades y fortalezas en todo el proceso.
• Hace sencillo el cumplimiento de los requisitos legales de las normas internacionales.
• Optimiza la gestión financiera y la de la organización, la confianza de los públicos que se encuentran implicados.
• Se diseña una estrategia fiable que se enfoque en la toma de decisiones y planificación.
• Prevenir pérdidas que se puedan exteriorizar.
• Permite que los incidentes que se puedan presentar sean manejados de forma anticipada.
• Se Accede a la posibilidad de que se logre conocer a más detalle los procesos de la organización.

Software para la gestión de riesgos

ISOTools, el Software para la gestión de riesgos ISO 31000, le ayuda a adaptarse a los cambios de la nueva versión de la norma ISO 31000, sin hacerle perder más tiempo que el estrictamente necesario.

Su adaptabilidad, flexibilidad y capacidad para adaptarse a las necesidades de las empresas, hacen de ISOTools una herramienta imprescindible para la gestión de las normas implementadas.

ISO 31000

La implementación de un sistema de riesgos, nace del desafío por parte de las organizaciones sin importar su tamaño o actividad económica, de mejorar su rendimiento y productividad, reducir al máximo sus pérdidas en escenarios de siniestralidad.

Es por esto que las organizaciones deben implementar un sistema de gestión de riesgos basados en la norma ISO 31000: 2018 de Gestión del Riesgo, el cual bajo esta norma establece un estándar internacional que construye directrices para que los riesgos dentro de las organizaciones generen valor.

Esta norma ISO 31000: 2018 cuenta con 11 principios que se articulan con la estructura y objetivos de la organización que se relacionan a la normativa de riesgos. Esta norma principalmente debe considerarse como una guía de buenas prácticas para la gestión de los riesgos.

Para definir un ciclo de vida en la gestión de los riesgos según la ISO 31000, se debe tener en cuenta la importancia de las decisiones estratégicas las cuales son la causa principal de los desaciertos en muchos escenarios de las organizaciones en muchas de las actividades desarrolladas en sus procesos. La gestión del riesgo para estos escenarios permite evidenciar la probabilidad de impacto en los diferentes riesgos previamente identificados.

Los elementos a tener en cuenta en un ciclo de vida son los siguientes.

Identificación:

El primer paso a tener en cuenta es tener es la identificación de los riesgos de los diferentes procesos en la organización que podrían afectar de manera potencial los procesos de la misma. Para su identificación se deben tener en cuenta varios elementos entre ellos, quienes participan en el proceso o los responsables del proceso, pues son estos recursos quienes finalmente administran sus procesos e identifican los elementos positivos o negativos del riesgo. Esta identificación debe estar documentada, ya que es de gran importancia que quede el registro de identificación de los riesgos. Si es posible dentro de los registros contar con un check list de los riesgos encontrados de los diferentes procesos, pues esto permite tener la trazabilidad de los mismos.

Análisis de riesgos:

En esta segunda fase o paso, lo que se debe realizar es el análisis de cuál es la afectación de este riesgo en el proceso, cuál es la probabilidad de impacto y las afectaciones que puede representar el mismo para el cumplimiento de los objetivos. En esta fase se debe contemplar un plan de respuesta, en el cuál se pueda contemplar cuáles esa acción de respuesta frente a esa posible afectación.

Tratamiento:

En esta fase se debe tener en cuenta cuales son los riesgos que generan el mayor impacto, que cuentan con la mayor probabilidad de ocurrencia, es decir los riesgos más críticos sobre los que se debe aplicar mayor control y requiere de un plan de acción para mitigar el riesgo.

Monitoreo:

Para esto se debe asignar un recurso o el mismo dueño de proceso, cuya función es estar en constantes revisión del riesgo y su gestión, con el fin de contar con una oportuna respuesta o plan de tratamiento frente a la eficacia de los controles implementados.

Comunicación:

Corresponde a la comunicación entre fases con el fin de determinar la efectividad de la gestión del riesgo, con el fin de garantizar el planteamiento de las estrategias y el cumplimiento de los objetivos.  

Conclusiones sobre el Ciclo de vida de la Gestión de Riesgos

En conclusión, este ciclo de vida nos va a permitir realizar una mejor gestión a nuestros riesgos, para ellos nos podemos apoyar en software que nos permiten conectar los procesos con la gestión de los riesgos de manera automatiza, igual que la gestión del mismo, aplicación de controles, plan de tratamiento, análisis, reportes, notificaciones entre otros elementos que van a permitir potenciar el ciclo de vida bajo la norma ISO 31000 de gestión de riesgos.

Software ISOTools para la gestión de Riesgos Corporativos.

El Software ISOTools para la Gestión de Riesgos Corporativos, es un gran aliado para el seguimiento y monitoreo de cualquier riesgo identificado en su organización, independientemente de su perfil u origen.

Establecer medidas y tomar decisiones mediante las matrices de gestión de riesgos de nuestro software es muy sencillo, ¿quiere saber cómo? Puede verlo aquí.

Gestión de riesgos

Como hemos hablado en artículos anteriores, los componentes del estándar ISO 31000:2018 son los principios, marco de referencia, procesos y técnicas.

Los procesos se llevan a cabo por medio de un conjunto de técnicas, las cuales están descritas en la norma ISO 31010, cuya última versión es del año 2019.  Esto es diferente a una Gestión Integral de Riesgos, en la que habrá que trabajar con múltiples metodologías.

Esta norma está centrada en el componente procesos y proporciona un conjunto de técnicas para poder llevar a cabo estos procesos a través de metodologías reconocidas por el organismo internacional de normalización ISO.

Analizar los elementos del proceso de gestión de riesgos, nos va a permitir generar una herramienta metodológica. En primer lugar, hay que establecer un alcance y un contexto, el cual nos permite generar unos criterios que se establecen en la política de riesgo. Esta política determina cuando aceptar, hasta donde tolerar o cuál es el apetito del riesgo. Por ejemplo, en la política quedarían establecidos cuáles son los recursos que vamos a emplear para la gestión de los riesgos, los planes de tratamiento y los controles.

Tras definir este aspecto estratégico, nos centramos en la evaluación de riesgos. Esta etapa corresponde a lo que denominamos la matriz del riesgo, donde tenemos un conjunto de datos los cuales se pueden relacionar para que por medio de unas operaciones matemáticas, podamos obtener los resultados que nos permitan priorizar sobre cuáles son los riesgos que tienen mayor nivel de probabilidad e impacto, por lo que nos pueden afectar más que otros en la organización.

Este proceso tiene unas entradas que son la comunicación y consulta. También tiene unas salidas, un registro e informe, que es el producto de que se haga un seguimiento y revisión por medio del uso de los KRI (indicadores de riesgos clave). Serían los mismos indicadores que conocemos comúnmente sobre el desempeño de los procesos, pero en este caso sujeto a lo que son los riesgos.

Por ejemplo, la relación que tenemos de riesgo residual vs. el riesgo inherente. Si nosotros tenemos acciones de tratamientos eficaces, quiere decir que esa relación va a ir en disminución, es decir, los riesgos residuales van a ser menores que los riesgos inherentes. Por lo tanto, ese porcentaje, si lo multiplicamos por 100 en una operación matemática, debería ir bajando en función a la eficacia que tiene nuestros planes de tratamiento de riesgos.

Como ya hemos mencionado, el proceso se compone de cuatro etapas, a continuación vamos  a hablar sobre ellas.

Comunicación y consulta

La comunicación es necesaria para la toma de conciencia y la comprensión del riesgo. Las personas dentro de las organizaciones deben ser conscientes de los riesgos y comprende que estos no son algo abstracto, son algo real.

La consulta es para poder utilizar los canales de comunicación adecuados para poder obtener la información con mayor precisión para la toma de decisiones.

Estos dos componentes nos van a permitir encauzar el proceso, el cual inicia con el alcance, el contexto y los criterios.

Procesos

Entrando en materia de riesgo, inicia con el alcance, el contexto y los criterios. En cuanto a la definición de alcance, vamos a ver qué tipo de riesgos son los que nos interesa revisar, en qué procesos y en qué ubicaciones geográficas. Con respecto al contexto, debemos analizar lo que son los factores internos y externos. En cuanto a factores internos, debemos revisar lo que es la competencia, la tecnología, la cantidad de documentación con la que contamos, la calidad de la documentación o los criterios de aceptación o rechazo. En relación con los factores externos como los políticos, los ambientales, los sociales, tecnológicos y los legales.

Haciendo referencia a la definición de criterios, nos lleva a que una vez que tengamos toda esta información, hay que configurar una política de gestión de riesgos, la cual nos permita actuar de forma concreta en las técnicas a implementar para poder hacer una adecuada valoración del riesgo y en consecuencia, su tratamiento.

Las dos variables principales son la probabilidad y la consecuencia. Hay que ver que sus operaciones matemáticas no son simples, se trata de operaciones en las que se combinan vectores, por lo que el resultado es un riesgo.

Las etapas del core del proceso de riesgo, son:

• Identificación del riesgo: tiene que ver con los procesos, actividades y la conceptualización de ese riesgo.
• Análisis de riesgos: donde se habla de las causas, el efecto y los controles que tenemos por defecto, ya que la organización tiene unos controles preestablecidos desde que se concibe como organización.
• Valoración del riesgo: en la cual se combina la probabilidad y el impacto, el cual nos va a dar un resultado, lo cual nos lleva a la priorización de los riesgos y nos genera un seguimiento.

Seguimiento y revisión

El seguimiento y la revisión se realiza para asegurar, mejorar la calidad y la eficacia del diseño, la implementación y los resultados del proceso. Requiere que haya responsables definidos perfectamente y ejecutarlo en todas las etapas del proceso.

Registro e informe

El registro e informe nos permite comunicar las actividades de gestión del riesgo y sus resultados. También nos permite proporcionar información para realizar una adecuada toma de decisiones, lo que conlleva una mejora en las actividades de la gestión del riesgo.

IEC 31010: 2019. Gestión de Riesgos: Técnicas de Evaluación de Riesgos

Ahora vamos a ver cómo hacemos uso de la IEC 31010, ya que nos da las directrices sobre:

• Técnicas para analizar y valorar la eficacia de los controles. En cuanto al grado o el alcance de esos controles para mitigar los riesgos.
• Técnicas para comprender las consecuencias y la probabilidad. Es muy importante porque se puede tener una ponderación simple como alta, media o baja, pero es necesario saber cuáles serían los factores que me permitirían pasar, por ejemplo, de una probabilidad alta a baja.
• Técnicas para analizar las dependencias e interacciones. En la ISO 31010 se habla de cómo gestionar la combinación de riesgos.
• Técnicas para medir (cuantificar) el riesgo. Al hablar de probabilidad por impacto, estamos hablando de vectores, por lo tanto, la relación que deben tener estos son por medio de operaciones de vectores o en todo caso, operaciones matriciales.
• Técnicas para registrar y reportar. Tratan sobre el modo en el que se va a entregar la información, qué clase de información, si es útil los mapas de calor.
• Técnicas para seleccionar entre alternativas. Considerando la mejor opción.
• Técnicas para evaluar la relevancia del riesgo. Son las que se emplean cuando un riesgo, aunque esté tratado y permanece.
• Técnicas para identificar causas, orígenes y fuerzas impulsoras del riesgo. Estas técnicas analizan cuáles son las fuentes de los riesgos y qué es lo que hace que un riesgo se dispare o se materialice,
• Técnicas para identificar riesgos. Hacen referencia a las que indican de dónde se va a sacar esa información para la identificación del riesgo.
• Técnicas para la obtención de perspectiva (visualización). Para determinar cómo tener una perspectiva desde los diferentes tipos de riesgo que existen dentro de las organizaciones.

Software para la gestión de riesgos

ISOTools, el software para la gestión de riesgos, facilita la identificación y administración de los riesgos que están presentes en la organización, permitiendo su gestión de forma integrada.

La automatización de la gestión de riesgos a través de un software como ISOTools, permite identificar visualmente los riesgos prioritarios. Así es posible tomar mejores decisiones ya que podrá consultar toda la información de forma visual en mapas de calor e informes personalizados.

COSO – ISO 31000

La gestión del riesgo en las organizaciones, plantea nuevos retos al equipo de riesgos constantemente. La forma de hacer negocios ha cambiado al igual que los eventos inesperados, que evolucionan aceleradamente y presentan diferentes formas de materializarse en la ejecución de tareas, llevando los controles a la obsolescencia en menor tiempo y afectar el negocio en general.

Puestos a escoger un marco de trabajo para la gestión de riesgos, encontramos multitud de opciones, pero hoy nos centraremos en las que posiblemente sean las más extendidas: ISO 31000 y COSO.

La norma ISO31000, permite al equipo definir una estructura eficaz para la gestión de los riesgos asociados a los procesos, sin embargo, orienta en el cumplimiento de los requisitos mínimos que se deben tener para la evaluación, sin limitar a las partes interesadas en el valor agregado que puedan aportar a la eficacia en la definición de controles.

Los sistemas de gestión, independientemente de su enfoque, es posible relaciónalos y poder cumplir requisitos de forma paralela en la implementación, incluso con la misma metodología para el seguimiento.

Tener un marco de referencia para la gestión de riesgos es fundamental y dentro de las tipologías existentes; los referentes a proceso financieros, cuentan con un comité especializado en optimizar la aplicación de controles que minimicen el impacto de los riesgos inherentes asociados al fraude en operaciones financieras y que amenazan la continuidad del negocio.

El COSO es un marco de referencia creado, con el fin de definir e implementar buenas prácticas en los procesos de control interno. En COSO, responsabilidad esta delegada en las diferentes partes interesadas de la organización; cabe resaltar que al igual que los demás sistemas de gestión, la definición de lineamientos y objetivos que se deben cumplir se encuentran a cargo de la alta dirección.

Comparando COSO e ISO 31000

Al realizar la comparación entre las metodologías para la gestión de riesgos, es posible definir que lo definido en la norma ISO31000 contempla los requisitos base para la gestión y a partir de la cual se creara la estructura que aplicara a la organización dependiendo de su actividad económica; la aplicación de esta norma es de aplicación transversal a cualquier actividad.

La metodología COSO también se enfoca en gestionar riesgos con base en buenas prácticas, solo que estas se encuentran enfocadas al sector financiero, donde el riesgo presente con más frecuencia en la ejecución de actividades concluye en fraude financiero que, al no contar con una definición integral de controles puede impactar a la organización hasta su desaparición.

¿Cuál escoger?

El éxito de los sistemas de gestión o metodologías de análisis para el control de factores internos y externos, nace en la planeación estratégica que desarrolla la dirección para cumplir con los objetivos y que en corto o mediano plazo le permitirá a la organización mejorar continuamente y ampliar su alcance operativo dentro del sector.

La implementación de un modelo normativo ISO o COSO, requiere que dentro de la planificación se asignen recursos de diferentes tipologías como los descritos a continuación:

• Recurso humano: poner en funcionamiento el modelo o metodología de gestión, depende de la formación capacidades y experiencia de los miembros que conforman el equipo de gestión del riesgo, de lo contrario es posible que se materialicen riesgos de gran impacto negativo al no tener conocimiento de la naturaleza y comportamiento de esto.
• Recursos financieros: la adquisición de personal infraestructura y equipos, es posible si dentro de la planificación del presupuesto la alta dirección de la organización asigna el dinero necesario para cubrir estos requerimientos.
• Recursos físicos: la eficiencia en la gestión de los riesgos de diferente tipología, requiere un medio que le permita gestionar y transferir información de forma rápida y efectiva, evitando tiempos muertos que posteriormente se reflejaran en pérdidas para la organización.

Las herramientas que las organizaciones adopten para la gestión de los riesgos asociados a las actividades de los procesos, debe garantizar el análisis de la información y posterior dar el insumo al equipo de gestión del riesgo para la definición de controles de forma integral y de esta forma dar un nivel alto de seguridad frente a estos eventos inesperados.

Software para la gestión de COSO e ISO 31000

Gracias a las nuevas tecnologías y el desarrollo de software especialmente diseñado para realizar la gestión de riesgos, organizaciones y equipos de todos los tamaños cuentan con una opción alternativa a la hora de buscar la excelencia.

El software ISOTools es una herramienta intuitiva, flexible y con un alto nivel de personalización que permite a las organizaciones gestionar de forma ágil y automatizada la gestión de riesgos.

ISO 31000

La palabra riesgo aparece en el panorama y en la organización poco preparada todo se torna gris. La continuidad del negocio se ve amenazada. La perspectiva de que tanto esfuerzo en levantar la empresa se diluya en la incertidumbre de lo que sucederá – o la certeza de que lo que viene es muy malo – es aterradora. Los resultados – lamentablemente – son bastante conocidos: despidos, multas, estrés laboral, accidente, etc. Estas consecuencias y el cúmulo de pensamientos que se nos vienen a la cabeza cuando abordamos el tema de los riesgos podrían ser muchísimo más llevaderos si de la amalgama terrorífica sacamos ideas claras, por ejemplo:

• ¿Cuáles son los tipos de riesgos que existen?
• ¿Cuáles de ellos atañen a mi organización?
• ¿Puedo mitigar, aceptar o transferir los riesgos?

En este texto nos referiremos a la primera interrogante, pues estamos convencidos de que darle forma a cada riesgo y asignarle una clasificación es una manera de comprenderlo. Solo entonces estaremos en capacidad de abordarlo, puesto que no se puede gestionar lo que se desconoce.

El riesgo es definido por la norma ISO 31000 2018 – Gestión de riesgos como el efecto de la incertidumbre sobre los objetivos. Trabajar con el estándar nos ayuda a tomar decisiones, establecer y lograr objetivos y mejorar el desempeño. Gracias a este texto podemos inferir que toda organización está sometida a un conjunto de riesgos. Ellos comprenden varios niveles:

• Riesgos estratégicos: están relacionados con los objetivos estratégicos de la organización. Por ejemplo, si la estrategia de una organización apunta a introducirse en nuevos mercados, pero se desconocen las consecuencias de incumplir las expectativas de los clientes y usuarios, se incurriría en un riesgo estratégico.
• Riesgos operacionales: Tienen que ver con el propósito de los procesos que componen el negocio. Se presentan en la ejecución de tales procesos, y, si se materializan, pueden imposibilitar que la organización o parte de ella cumpla su función. A su vez se subdividen en:

• Riesgos tecnológicos: Aluden a los equipos de tecnologías de información y comunicación y/o sus operaciones. Por ejemplo: sistemas operativos, aplicaciones, comunicaciones en las redes, entre otros. También abarcan ciberseguridad, privacidad y seguridad de la información.
• Riesgos financieros: Apuntan a las operaciones financieras, como pagos, deudas, ofertas, cobros y costos.
• Riesgos legales: Están ligados al cumplimiento de los requisitos legales y reglamentarios.
• Riesgos reputacionales: Son aquellos que tienen que ver con la imagen de la organización ante terceros.

• Riesgos de procesos: Son riesgos relacionados con los resultados de un proceso y sus interacciones. Si se materializan, afectan la eficacia y la eficiencia de la organización.
• Riesgos de proyecto: Se presentan durante el ciclo de vida de un proyecto y pueden tener las mismas características de los riesgos operacionales localizados en esa fracción de tiempo que representa el proyecto.

Cultura del riesgo

Muchas grandes empresas que durante años fueron referencias de éxito han enfrentado riesgos que no han podido gestionar con eficacia. Kodak, Nokia y Toshiba son algunos ejemplos. Pero estos fracasos pueden resultar aleccionadores para las organizaciones que siguen en pie. Una de las múltiples enseñanzas que podemos extraer es que es primordial instaurar una cultura corporativa que conciba al riesgo como parte de todas las actividades que se llevan a cabo en la compañía. Esto no quiere decir que siempre debamos pensar que está a punto de ocurrir alguna desgracia, sino que seamos conscientes de que todos los aspectos de la dinámica corporativa acarrean riesgos y que vale la pena adelantarse elaborando una política que exprese cómo se atenderá cada uno. Esta medida carecería de sentido sin la existencia de recursos que sirvan para gestionar los riesgos y sin precisión en cuanto a responsables de cada riesgo. La política y la gestión tienen que ir de la mano de los objetivos, misión, visión, valores y estrategias de la empresa. Sin concatenar estos elementos cruciales sería inviable atender los riesgos eficazmente.

¿Cómo saber si en su empresa existe una cultura del riesgo? Consideramos que sí existe, siempre existe, pues la cultura tiene que ver con la forma en que en la organización se perciben los riesgos, cómo los gestionan, qué conocen sobre ellos, en qué momento se abordan y qué papel adoptan los líderes y equipos de trabajo. Lo que realmente interesa es que esa cultura sea capaz de dotarnos de herramientas que nos ayuden a enfrentar los cambios, innovar, cumplir con la ley, fijar posiciones éticas y atender todo lo que suponga una amenaza capaz de materializarse.

ISOTools como herramienta de Gestión de Riesgos

ISOTools es una excelente herramienta para la implementación de un sistema de Gestión de Riesgos. Además de automatizar y promover una monitorización eficaz del proceso, permite una mejor coordinación de las tareas entre los directivos o responsables que hayan sido delegados para tal función.

Siguiendo los principios y las directrices de la norma ISO 31000, esta herramienta aporta ventajas que merecen ser destacadas:

• Ahorra tiempo durante la ejecución de las tareas.
• Permite realizar auto evaluaciones para definir el estado actual de la organización.
• Permite un mejor registro de los datos de los diferentes procesos.
• Realiza comparativas entre análisis de riesgos.
• Permite visualizar el avance de los proyectos y las actividades.
• Relaciona actividades similares o que guarden relación.
• Ofrece cuadros de mando para ilustrar cualquier momento del proceso.
• Permite la realización de análisis de incidencias.
• Ayuda a monitorizar la ejecución de soluciones específicas.

ISO 31022

El riesgo asociado a las operaciones en una organización, tiene diferentes enfoques en los que hay que trabajar en conjunto con todos los procesos, con el fin de llegar a definir controles que los eliminen o mitiguen. Considerando que las partes interesadas de igual forma se ven impactadas ante la ocurrencia de alguno de ellos, también se convierten en un actor importante en la definición de los mismos.

Actualmente hay información documentada que ayuda a la implementación de un sistema de gestión del riesgo, cada una presenta una metodología diferente, pero con un único fin que es proteger del impacto negativo los activos humanos, físicos y financieros de la organización.

El sistema de gestión del riesgo a nivel normativo tiene un soporte fuerte, dado en las normas que al paso del tiempo han sido documentadas y que estandarizan las etapas de gestión del riesgo. Entre las normas documentadas se encuentra una muy conocida como es la ISO31000 donde se orienta a las organizaciones por medio de una estructura, a la clasificación de etapas para la implementación del sistema.

En la norma ISO31000 se encuentra la guía general para la implementación de un sistema de gestión del riesgo, aplicable a todas actividades de la organización; dentro de estas se encuentran las relacionadas con el cumplimiento de requisitos legales. Esta actividad no es de fácil identificación ya que los responsables de esta gestión, mantienen comunicación con un grupo de cargos limitado.

Los requerimientos para integrar esta gestión, se debe apoyar en complementos para ampliar su alcance, los riesgos en sus diferentes tipologías se enfocan principalmente en procesos productivos y aunque no se perciba fácilmente los de cumplimiento legal, de la misma forma tienen alto impacto ante la ocurrencia del riesgo. Aquí es donde la Norma ISO31022 complementa la gestión.

¿Qué es la norma ISO31022 y para qué sirve?

Es la norma que define prácticas para la gestión los riesgos asociados al cumplimiento legal, si bien los riesgos operativos se controlan y son de conocimiento de toda la organización, los de cumplimiento legal no dejan de ser menos importantes, por el contrario, la ocurrencia de un riesgo por incumplimiento legal impacta directamente la imagen y ben nombre de la organización.

A diferencia de los requisitos normativos, los legales son de obligatorio cumplimiento, el no hacerlo trae multas significativas y puede llegar hasta el cierre de la empresa y toda su operación. El gobierno de cada país cuenta con entes especializados en el seguimiento y verificación del cumplimiento legal, los cuales son específicos en cada país.

Se debe tener presente que la legislación en cada país y sector económico es cambiante con la evolución del mercado que está dado por las condiciones generales que deben beneficiar a la población. Las organizaciones que exportan sus productos o servicios tienen la particularidad de cumplir no solo la legislación local, adicionalmente debe apropiar la del lugar donde solicitan sus productos o servicios para la comercialización.

Los requisitos de cumplimiento legal tienden a ser recibidos con actitud de imposición y obligatorio cumplimiento, claro está por la naturaleza del tema. Las multas por no cumplirlos en totalidad, genera nerviosismo por el grado de inversión que alguno de estos requiere para cumplirlo, por eso la planificación de los recursos debe contemplar un rango de presupuesto para invertir en favor del cumplimiento de los requisitos legales.

Hay que estar bien informados de los cambios legales y hacer seguimiento, la importancia que tiene la matriz legal dentro de la organización es un pilar de información, que permite conocer el nivel de cumplimiento de la organización frente a entes del gobierno, así poder anticipar la implementación de planes de acción que ayuden a escalar el nivel de cumplimiento mínimo necesario para continuar la operación.

El compromiso en el cumplimiento general de la organización contribuye al desarrollo individual, pero al mismo tiempo del país, la evaluación de la efectividad de los controles aplicados a los riesgos legales, permite mejorar continuamente y tener efectividad en el gasto, que impacta negativamente si aumenta con el pasar del tiempo.

Software para la gestión del riesgo

El software ISOTools está especialmente diseñado para permitir una gestión altamente eficaz de los riesgos, consiguiendo una comunicación fluida y la automatización del sistema, lo que evita la pérdida de información entre distintos departamentos, independientemente de la actividad y tamaño de la empresa. La gestión de riesgos necesita fluidez y agilidad, dos requisitos que, sin duda, lograrás con ISOTools.

ISO 31000

La gestión de riesgos cuenta con unas etapas definidas y comunes en la mayoría de organizaciones que son, análisis del contexto, Identificación de los riesgos, análisis de los riesgos (Determinar riesgo inherente), Establecer controles, evaluación (determinar riesgo residual), plan de acción, y el monitoreo, esta última es una de esas etapas iterativas,  pero fundamental ya que garantizará que la gestión de riesgos esté siempre actualizada, y por ende que dé respuesta a la realidad en las organizaciones y las influencias del medio ambiente externo que les rodea.

El proceso de monitorear los riesgos permite establecer si los planes de acción implementados fueron efectivos, si los niveles de riesgos permanecen o se han modificado, de un periodo a otro cuántos riesgos importantes permanecen, cuantos riesgos inaceptables, los controles y si se han materializado o no para determinar la eficacia de los mismos.

Como vemos es una etapa que se debe repetir tantas veces como la organización determine que es necesario, o por las condiciones de cambio que presente el mercado, el medio ambiente, las leyes, entre otros aspectos que llevan a la actualización de la matriz de riesgos.

Ahora bien, la pregunta sería con que herramientas, metodologías podemos contar para llevar a cabo la actividad de monitorear los riesgos, al respecto describimos brevemente algunas que puede ser de utilidad para esta importante labor.

1. Juntas o Reuniones de revisión de estado de riesgos: estas deben tener una estructura definida, objetivo, tiempo, participantes y la idea es responder en esta las siguientes preguntas:

• ¿Cuáles de los riesgos identificados tienen la mayor prioridad en cuanto a tratamiento en la actualidad?
• ¿Existe algún cambio en la prioridad de tratamiento de riesgos respecto de la última vez que se evaluaron?
• ¿Los planes de acción han sido efectivos sobre la fuente que generó el riego?, ¿Es necesario implementar acciones adicionales?
• Revisar los riesgos que ya se encuentran gestionados y cerrados para validar los planes de acción que se implementaron y determinar si aportan soluciones a otros riesgos.

2. Indicadores claves de riesgo (KRI): son los que permiten cuantificar el perfil de riesgo de la organización, brindan información acerca del nivel de exposición a un riesgo determinado para un periodo de tiempo específico, teniendo en cuenta un análisis prospectivo permite identificar de manera temprana la aparición de un riesgo, ejemplos:

• Cantidad de sedes/ oficinas en zonas de alto riesgo.
• Tasa de rotación de personal.
• Número de clientes que utilizan la herramienta en el último mes.

3. Indicadores clave de rendimiento (KPI): permiten medir la eficacia operacional y funcionan como alertas en caso de pérdidas, es decir brindan información acerca del estado de los procesos operativos, ejemplos:

• Porcentaje de consulta en página web
• Número de ventas mensuales
• Volumen promedio anual de ventas por cliente
• Porcentaje de proyectos completados.
• Retorno de la inversión (ROI).
• Número de cotizaciones / ventas mensuales.
• Duración acumulada en horas de caída de internet por mes.

4. Indicadores Calve de Control (KCI): permiten medir la efectividad y diseño de los controles, un KCI con una medición por debajo de los límites, se podría relacionar con un aumento en la probabilidad de que se materialice el riesgo, ejemplos:

• Porcentaje de riesgos residuales por encima del umbral de riesgo.
• Porcentaje de ejecución de controles.
• Estado de los planes de mitigación de riesgos.
• Porcentaje de llamadas de bienvenida.

5. Auditorias de riesgos: se determina en esta la eficacia de los planes de respuesta a los riesgos, la eficacia de los procesos de gestión de riesgos para determinar los procesos que lograron una respuesta adecuada y los proceso que no.

6. Análisis de tendencia y de varianza: que permitan comparar los resultados previstos versus los reales y evidenciar el riesgo existente.

Las herramientas para el monitoreo de riesgos son diversas y cada organización implementara aquellas que determine más conveniente, un aspecto importante es contar con la información en la medida de lo posible centralizada, que sea de fácil acceso y de fácil gestión, para ello existen herramientas tecnologías que permiten llevar todas las etapas de la gestión de riesgos entre ellas las de monitoreo, que generan alertas, aviso que ayudan a los administradores de la gestión de riegos a mantener actualizados acerca de la misma.

ISOTools como herramienta de Gestión de Riesgos

ISOTools es una excelente herramienta para la implementación de un sistema de Gestión de Riesgos. Además de automatizar y promover una monitorización eficaz del proceso, permite una mejor coordinación de las tareas entre los directivos o responsables que hayan sido delegados para tal función.

Siguiendo los principios y las directrices de la norma ISO 31000, esta herramienta aporta ventajas que merecen ser destacadas:

• Ahorra tiempo durante la ejecución de las tareas.
• Permite realizar auto evaluaciones para definir el estado actual de la organización.
• Permite un mejor registro de los datos de los diferentes procesos.
• Realiza comparativas entre análisis de riesgos.
• Permite visualizar el avance de los proyectos y las actividades.
• Relaciona actividades similares o que guarden relación.
• Ofrece cuadros de mando para ilustrar cualquier momento del proceso.
• Permite la realización de análisis de incidencias.
• Ayuda a monitorizar la ejecución de soluciones específicas.

Riesgo de accidentes

Independientemente del ámbito en el que opera una organización, encontraremos riesgos de accidentes, frente a los que se recomienda llevar a cabo medidas preventivas para así evitar que se produzcan.

Pero, ¿qué tipos de accidentes de trabajo son los que suelen ocurrir en las organizaciones y que ocasionan daños para los trabajadores y para la propia empresa?

A continuación, vamos a enumerar algunos de esos riesgos:

• Riesgos eléctricos
• Riesgos químicos
• Incendios y explosiones
• Contaminación acústica
• Caídas y golpes
• Exposiciones a pantallas de computador
• Riesgos psicosociales
• Riesgos biológicos por virus, bacterias y otros agentes

En los lugares de trabajo donde se producen accidentes, se generan sobre los trabajadores consecuencias tales como:

• Incapacidad parcial temporal
• Incapacidad parcial permanente
• Incapacidad total permanente
• Muerte

¿Cómo predecir el riesgo de accidentes?

Esto es posible a través de análisis predictivo, que está vinculado con la minería de datos, el Big Data o, por ejemplo, el Business Intelligence. El análisis predictivo implica tratamiento estadístico de datos y predicción de conductas, en definitiva, mucha información con la que se busca llevar a cabo su gestión y así aportar valor a la organización, como predicciones que van a ayudar a adoptar las decisiones adecuadas para las organizaciones.

Llevar a cabo un análisis predictivo nos permite saber qué es probable que tenga lugar, para lo que es necesario tener en cuenta una serie de variables.

Uno de estas variables que hay que considerar es el tiempo, tanto el pasado como el presente y futuro.

• Pasado: Quedarán descritos los riesgos o accidentes que han tenido lugar en el pasado y el motivo por el que se han producido. Se analizará qué ha pasado para que no vuelva a producirse
• Presente: Estableceremos los hechos que están teniendo lugar, lo que nos ayudará a pronosticar qué pasará en el futuro.
• Futuro: Se trata de predicciones que se alcanzan gracias al análisis de datos de los hechos pasados y presentes.

Los datos obtenidos de las inspecciones, son herramientas muy importantes a la hora de realizar predicción de accidentes.

Indicadores

Los indicadores son características concretas, observables y medibles que pueden emplearse para demostrar las modificaciones y progresos que ayudan a la consecución de resultados específicos.

Vamos a identificar dos tipos de indicadores que nos ayudarán a predecir accidentes:

• Indicadores de impacto: son aquellos que se encargan de medir los esfuerzos ejecutados en tiempo pasado con la finalidad llevar a cabo una medición del desempeño y comparar con gestiones realizadas en el pasado para proceder a lograr mejoras en el futuro, por tanto, se tratan de indicadores de carácter reactivo. Como ejemplo destacamos el índice de frecuencia de incidentes con tiempo perdido.
• Indicadores de acción: son de especial importancia para la toma de decisiones, hacen posible la medición de la eficacia y eficiencia de cualquier tipo de proceso y estrategia. Como ejemplo, índice de inspecciones.

Software para la gestión de indicadores

ISOTools Excellence cuenta con un módulo para la gestión de indicadores, ayuda a las organizaciones a:

• Generar información
• Utilizar la plataforma de forma fácil sin perder información

En la actualidad, nos comunicamos a través de varios medios, entre ellos Whatsapp o correo electrónico. Estos medios nos facilitan mucho la comunicación, pero haciendo uso de ellas, es muy fácil que la información se pierda, de ahí la importancia de que un responsable maneje todos estos datos.

Con el módulo de indicadores de ISOTools, todas las gestiones se realizan de un modo más ágil, siendo mucho más fácil el desarrollo de las actividades y de cualquier tipo de gestión que haya que desarrollar.

A través de ISOTools las organizaciones podrán definir los indicadores manuales y los indicadores automáticos.

Los indicadores manuales, serán aquellos que estén sometidos a variaciones independientes. En el caso de los indicadores automáticos, se trata de indicadores que se alimentarán automáticamente de los propios registros y de la información generada en la plataforma en tiempo real.

En la Plataforma Tecnológica ISOTools, las organizaciones pueden asignar al responsable o responsables de cualquiera de los indicadores que hayan quedado configurados. Además, todos los indicadores definidos en el software, tendrán información gráfica, la cual nos dará una idea de la evolución y del nivel de cumplimiento haciendo un simple clic.

El software también nos permite tener más detalle sobre el indicador, por ejemplo, permite verificar su periodicidad, el valor recomendado, el meta o el valor de riesgo.

En el caso de que los limites definidos por cada indicador no se cumplan o se superen, es posible establecer avisos al responsable de dicho indicador.

Como hemos podido ir mencionando, la gestión de indicadores mediante el software ISOTools es ágil, sencilla y centralizada.

Le invitamos a que nos solicite más información y pueda conocer más cómo ISOTools cuenta con diferentes funcionalidades que ayudan en el análisis de información y gestión de indicadores para tomar las mejores decisiones.

Compliance officer

El rol de oficial de cumplimiento o compliance officer, como lo conocemos hoy en día (instancias en las que participa, funciones y relevancia), es de reciente data. Aunque en ocasiones se duda de la valía de este profesional, consideramos necesario acotar que se trata de un miembro meritorio de la organización. Y no es porque estemos en contra de la polivalencia de los colaboradores, sino porque concluimos que un área tan sensible y primordial como el compliance no debería descuidarse o dejarse en manos de trabajadores que ya tienen sus quehaceres bien definidos. Reivindicamos la labor del oficial de cumplimiento porque a él le competen muchos aspectos, entre ellos tener conocimiento de las leyes y regulaciones aplicables a la empresa.

Una formación bien particular que le lleve a aguzar el instinto acerca de las formas de evasión legal, maneras de evitar controles y modus operandi de quienes aceptan sobornos, es la base que requiere un oficial de cumplimiento para ser eficaz. Este rol es particular y no debe ejercerlo un trabajador que ya desempeñe otras funciones dentro de la organización, puesto que el compliance officer será el encargado de que la empresa opere en conformidad con las leyes, reglamentos, contratos y acuerdos correspondientes. El cumplimiento se traduce en organizaciones comprometidas y confiables, en sociedades más transparentes.

Dentro de un sistema de gestión, el trabajo del oficial es lograr que se honren los acuerdos pactados por la organización, conseguir que se cumplan las normas. Es una manera de hacer que la empresa opere sin ser castigada y, además, goce de la confianza de clientes y partes interesadas.

En la norma ISO/FDIS 37301 (5.3.2) se señalan las funciones de cumplimiento de forma que no existan equívocos en torno a la figura del compliance officer, a quien se encomiendan las tareas de:

• facilitar la identificación de las obligaciones de cumplimiento;
• la evaluación del riesgo de cumplimiento;
• asegurar que las obligaciones de cumplimiento se integren en las políticas;
• establecer un sistema de informes y documentación de cumplimiento;
• establecer indicadores de desempeño de cumplimiento;
• establecer un sistema para plantear inquietudes y garantizar que se aborden las inquietudes.

La función de cumplimiento, además, será responsable de monitorear:

• que las responsabilidades para lograr las obligaciones de cumplimiento identificadas se asignen adecuadamente en toda la organización;
• que las obligaciones de cumplimiento están integradas en los procedimientos y procesos;
• que todo el personal pertinente esté formado según sea necesario.

La función de cumplimiento, según el estándar, será responsable de:

• seguimiento y medición del desempeño del cumplimiento;
• analizar y evaluar el desempeño del sistema de gestión del cumplimiento para identificar cualquier necesidad de acción correctiva;
• asegurarse de que el sistema de gestión del cumplimiento se revise a intervalos planificados.

La función de cumplimiento deberá – indica la norma -:

• proporcionar al personal acceso a recursos sobre políticas, procesos y procedimientos de cumplimiento;
• asesorar a la organización en asuntos relacionados con el cumplimiento.

La organización debe asegurarse de que la función de cumplimiento tenga acceso a:

• altos responsables de la toma de decisiones y la oportunidad de contribuir al inicio de los procesos de toma de decisiones;
• todos los niveles de la organización;
• todo el personal, la información documentada y los datos necesarios;
• asesoramiento de expertos sobre leyes, reglamentos, códigos y normas organizativas pertinentes.

La norma puntualiza que los deberes específicos de la función de cumplimiento no eximen a otro personal de sus responsabilidades de cumplimiento. En cuanto a estándares precursores de la norma ISO 37301, contamos con la UNE ISO 19600, la cual señala cómo debería ser la política de compliance, define roles y responsabilidades de cumplimiento, funciones, perfila asignaciones específicas de los oficiales de cumplimiento, de directivos y trabajadores. El compliance se concibe como una oportunidad para que una organización consiga el éxito y sea sostenible.

Entonces, ¿es necesario un compliance officer en un sistema de gestión de cumplimiento? La respuesta es sí. Un rol crucial (o un área, con sus propias necesidades, objetivos, indicadores y recursos) necesita del liderazgp que indique el rumbo del cumplimiento, que fije una ruta certera en que la organización se conduzca de manera segura, para que las nubes negras de los crímenes, evasiones, multas, cierres, escándalos y desconfianza se mantengan lejos de la empresa.

Software para la gestión compliance

Próximamente, la norma ISO 19600 será reemplazada por la ISO 37301, la cual, al ser certificable, precisará de seguimientos, auditorías, medidas, gestión de riesgos, etc. de los que dependerá la futura certificación

Ser pro tecnología y apostar por herramientas tecnológicas como el Software ISOTools para compliance, es una apuesta segura, ya que la automatización es el siguiente paso hacia la excelencia empresarial.

Nunca ha sido tan fácil alinearse con los requisitos de las normas y conseguir la conformidad, contáctanos, y uno de nuestros asesores contactará con usted.

¿Qué es la identificación de riesgos según ISO 31000?

Para poder realizar la identificación de los riesgos en una organización, como primera medida es esencial tener claridad acerca del concepto de riesgo, Un riesgo corresponde a un evento, suceso, situación que es susceptible de presentarse o no, en caso de presentarse-materializarse afecta el logro de los objetivos trazados, si lo afecta en un contexto negativo, es decir que impida o retrase el cumplimiento del mismo se da la connotación de riesgo, y si, por el contrario, potencia la posibilidad de lograrlo, se le da la connotación de oportunidad.

En el proceso de identificar los riesgos en una organización, es clave contar con información coherente y actualizada acerca de las actividades que se llevan a cabo en los diferentes procesos, los resultados esperados de las mismas, como orígenes de riesgos, se puede acudir a diversas fuentes de información, como lo son:

• Las fuentes de riesgos materiales, las que podemos ver, maquinaria, infraestructura, y las fuentes de riesgos que no podemos identificar a simple vista. Cambios en los mercados, costumbres, etc.
• Del análisis de contexto extraer las amenazas y debilidades para la identificación de riesgos y las oportunidades.
• Caracterizar los activos y recursos con los que cuenta la organización, identificando su naturaleza y valor.
• Los aspectos relacionados con los tiempos.

Fuentes internas y externas de riesgos

Es importante resaltar que se deben tener en cuenta para la identificación de riesgos, las fuentes internas (Propias de la organización y que esta controla), y las fuentes externas, las no controladas por la organización.

Ahora bien, teniendo claro el concepto de riesgo y algunas de sus fuentes, es preciso realizar los siguientes pasos para completar el proceso de identificación, la organización deberá priorizar de esta lista encontrada, aquellos riesgos para los cuales va a emprender planes de acción en el corto y mediano plazo.

• Descripción paso a paso de los procesos: estas se pueden encontrar en los procedimientos y el objetivo es poder identificar las diversas actividades que se llevan a cabo, los responsables, la cantidad de personas involucradas.
• Después de tener identificado el listado de actividades, para cada una de ellas identificar que puede salir mal, fuera de los parámetros esperados.
• En caso de que la actividad se salga de los parámetros esperados, y afecte negativamente el proceso, cuáles son los efectos que esta desviación puede causar.
• Partiendo del punto anterior, realizar una descripción de los riesgos identificados.
• Clasificar los riesgos identificados, por categorías que luego permitan dar una respuesta adecuada, por ejemplo, riesgos relacionados con la seguridad de la información, riesgos financieros, riesgos operacionales.
• Determinar el proceso y/o cargo responsable de dar tratamiento a ese riesgo.
• Identificar el plazo en el que se debe tratar el riesgo.
• Determinar si el riesgo existe o está implícito con el desarrollo de la actividad, o si es un riesgo que se podría eliminar o reemplazar por otro menos impactante con algún cambio en el desarrollo de la actividad.
• Previamente, se debe haber determinado una escala de calificación para el riesgo, normalmente, se tiene en cuenta para esta escala la probabilidad y el impacto, entre otras variables, esto con el fin de que basados en esta escala, se identifique el riego inicial (Inherente) en que escala se encuentra.
• Listar los posibles controles que se pueden aplicar para el riego identificado.
• Establecer los responsables de aplicar los controles identificados.
• Indicar cuáles serían las evidencias que se dejan para demostrar la aplicación del control.
• Identificar la periodicidad con la que debe aplicarse el control.

Los anteriores pasos nos darán la entrada para el siguiente proceso que corresponde al análisis del riesgo, es muy importante que para el ejercicio de identificación de riesgos, se involucre al personal que desarrolla directamente las actividades con el fin de que no sea un ejercicio netamente teórico, sino que sea basado en la realidad, en el día a día, de esta manera estará aportando mayor valor para el objetivo final que es poder tratar los mismos, evitando su materialización o disminuyendo el impacto que este podría generar.

Como lo hemos mencionado en artículos anteriores, el ejercicio de identificar los riesgos y demás etapas del ciclo (Analizarlos, evaluarlos, establecer controles, planes de acción), son ejercicio dinámico y cuya periodicidad dependerá de la necesidad de la organización, de los cambios en los mercados, en las condiciones de salud mundial (Pandemias), entre otros factores, que va a determinar cada cuánto se debe realizar la actualización de la matriz de riesgos, ante escenarios actuales tan volátiles y cambiantes es un desafío y cobra mayor relevancia el proceso de la gestión del riesgo en las organizaciones.

Cómo construir una matriz de riesgos ISO 31000 paso a paso 

La matriz de riesgos es una herramienta esencial para priorizar los riesgos en función de su probabilidad e impacto, facilitando la toma de decisiones informadas. A continuación, se detalla un proceso paso a paso para construir una matriz de riesgos alineada con los principios y directrices de la norma ISO 31000:

1. Establecer el contexto

Antes de construir la matriz, es fundamental definir el contexto organizacional e identificar los objetivos estratégicos, operativos, financieros y de cumplimiento. Esto permite enfocar el análisis en los riesgos realmente relevantes.

2. Identificar los riesgos

Recopila los riesgos detectados durante la fase de identificación. Cada riesgo debe estar claramente descrito, incluyendo su causa, evento y consecuencias. Puedes utilizar herramientas como lluvias de ideas, análisis FODA o análisis de procesos para obtener una visión completa.

3. Definir criterios de impacto y probabilidad

Establece escalas claras para valorar la probabilidad (frecuencia de ocurrencia) y el impacto (nivel de consecuencias negativas). Por ejemplo:

Probabilidad:

• Muy baja (1): Raro que ocurra
• Baja (2): Ocurre ocasionalmente
• Media (3): Posible
• Alta (4): Probable
• Muy alta (5): Ocurre frecuentemente

Impacto:

• Insignificante (1)
• Menor (2)
• Moderado (3)
• Mayor (4)
• Catastrófico (5)

4. Evaluar cada riesgo

Asigna una puntuación a cada riesgo combinando sus niveles de impacto y probabilidad. Esto puede hacerse mediante una matriz de 5×5, donde cada celda representa un nivel de riesgo (bajo, medio, alto o extremo).

5. Diseñar la matriz de riesgos

Crea una tabla con la probabilidad en un eje y el impacto en el otro. Llena la matriz con los niveles de riesgo según la combinación de ambos factores. Puedes usar una codificación por colores para facilitar su visualización:

• Verde: Riesgo bajo
• Amarillo: Riesgo medio
• Naranja: Riesgo alto
• Rojo: Riesgo extremo

6. Priorizar los riesgos

Con la matriz finalizada, enfócate en aquellos riesgos ubicados en las zonas de mayor criticidad (alto y extremo). Estos requieren un tratamiento inmediato o la definición de controles más robustos.

7. Validar y actualizar

Finalmente, valida la matriz con los responsables de gestión y revisa su vigencia periódicamente. El entorno cambia, y con él, los riesgos también evolucionan.

Ejemplo de matriz de riesgos ISO 31000 aplicada a un proceso

Para comprender mejor la utilidad de la matriz de riesgos en el marco de la norma ISO 31000, veamos su aplicación práctica en un proceso específico. Supongamos que queremos evaluar los riesgos asociados al proceso de gestión de compras en una empresa.

1. Contexto del proceso

El proceso de compras tiene como objetivo garantizar el abastecimiento oportuno de bienes y servicios, bajo criterios de calidad, costo y cumplimiento normativo. Está expuesto a múltiples riesgos que pueden afectar tanto la eficiencia operativa como el cumplimiento contractual o la imagen de la organización.

2. Identificación de riesgos del proceso

Algunos de los riesgos relevantes para este proceso podrían ser:

3. Criterios de evaluación

Se define una escala de 1 a 5 para probabilidad e impacto. Por ejemplo:

• Probabilidad (P):

1 = Muy improbable

5 = Muy probable

• Impacto (I):

1 = Insignificante

5 = Crítico

4. Valoración y construcción de la matriz

Se evalúan los riesgos y se asignan valores según su probabilidad e impacto:

5. Visualización de la matriz

Los riesgos críticos se priorizan para tratamiento inmediato

6. Tratamiento y seguimiento

Una vez clasificados los riesgos:

• R4 (Crítico): Se diseña un plan de cumplimiento y auditoría interna trimestral.
• R1 y R2 (Altos): Se refuerza el proceso de homologación de proveedores y control de calidad.
• R3 (Medio): Se implementan políticas de integridad y mecanismos de denuncia anónima.

Software para gestionar riesgos con la ISO 31000

Con el software para gestionar riesgos de ISOTools identifica y administra los riesgos que cruzan la organización, integrándose en todos los procesos y permitiendo la gestión de riesgos en proyectos, aspectos operativos, financieros, legales, gubernamentales, ambientales, de seguridad y salud o de seguridad TI, entre otros. Además, alinea la estrategia con el apetito por el riesgo.

ISOTools permite el establecimiento del contexto, identificación, análisis y tratamiento hasta la implementación de los procesos necesarios para el seguimiento y medición. Y lo mejor: todo centralizado en un único espacio y con posibilidad de reutilizar de forma intuitiva elementos de su propio inventario de riesgos.

ISO 31000

La definición de los riesgos es un proceso que se encuentra en constante actualización, es gestionado periódicamente de acuerdo a la necesidades y proyecciones que tienen las organizaciones, a los cambios del mercado, a las realidades culturales, sociales, entre otros temas que pueden impactar de forma negativa la consecución de objetivos de las mismas.

Quiere decir, que es un proceso dinámico, iterativo y que depende en muchos casos de variables que se escapan del control de las organizaciones, por tanto, se debe realizar una excelente gestión en cuanto a la identificación, evaluación, monitoreo y planes de acción para que las respuestas que se den a los mismos, lleven en caso de materializarse, al mínimo impacto posible.

Hay un aspecto clave y corresponde a la comunicación para la gestión de riesgos, es importante conocer los fundamentos sobre los cuales se toman las decisiones, entender porque es necesario establecer y llevar a cabo acciones que nos permitan gestionar los riesgos, de esta manera lograr un grado de conciencia y la comprensión de los riesgos por parte de los colaboradores, la retroalimentación, la comunicación debe ser clara, precisa, de fácil comprensión y estar de acuerdo al nivel de  los interlocutores.

Según la norma ISO 31000 Gestión del riesgo Directrices, hay tres aspectos a tener en cuenta, como punto de partida a la hora de definir los riesgos, estos aspectos son: 1) El contexto de la organización, 2) la definición del alcance de la gestión del riesgo, 3) los criterios para la gestión del riesgo.

El contexto  hace referencia al ambiente en el que se desenvuelve la organización, en el que lleva a cabo sus actividades , visto a la luz de la norma se pueden enmarcar en los actores (Factores Internos y Factores externos) estos se han explicado con detalle en otros de nuestros artículos, básicamente se basa en que la organización tenga una comprensión profunda de su entorno, esta se da en la medida en que se identifiquen los factores internos y externos que tienen implicaciones directas en el logro de objetivos de la organización, a través de la identificación de factores, se puede prever cuáles de ellos  implican  debilidades y amenazas, estos se deben tomar como insumo para la identificación de riesgos, con el fin de dar una respuesta a los mismos, establecer un plan de acción.

El alcance: se debe tener claridad en cuánto al alcance de la gestión de riesgos, es decir definir si se aplicará a todos los procesos en la organización (Estratégicos/Operativos/ de apoyo), la coherencia entre la gestión de riesgos en contraste con los objetivos que persigue la organización, los tiempos para la gestión, las exclusiones, los recursos necesarios para poder llevar a cabo la gestión del riesgo, la definición de responsabilidades, los registros que debe generar esta gestión y la conservación de los mismos.

Criterios: la organización debe terminar cuántos y que tipos de riesgos puede aceptar o no, y estos estar directamente ligados con los objetivos, no necesariamente para todo el listado de riesgos que se definan se deberán establecer planes de acción inmediatos, deberá establecerse una priorización de los mismos de acuerdo a las necesidades de la organización y el impacto que estos generan, para ello es importante considerar los siguientes aspectos:

• La naturaleza del riesgo, en este aspecto podemos enmarcarlo en una clasificación, tecnológicos, estratégicos, de gestión, entre otras, que luego facilitan la comprensión, agrupación y el establecimiento de controles.
• La cuantificación de las consecuencias y la probabilidad de que se presente el riesgo.
• El tiempo para el desarrollo de actividades y los tiempos asociados a los planes de acción.
• Determinar la metodología para medir adecuadamente el nivel del riesgo.
• Establecer las interacciones entre los diferentes riesgos y las consecuencias de los mismos
• La capacidad que tiene la organización para dar respuesta a los mismos.

Cuando se redacta la definición de un riesgo es importante incluir los siguientes datos:

1. Origen: cuál es la causas o casusas que dan origen al riesgo que se está identificando.
2. Descripción del evento: cuál es la situación que probablemente se puede presentar y que genera un impacto negativo en el logro del objetivo.
3. Consecuencias: en caso de que se materialice cuáles son los efectos a considerar.

Estos son los aspectos básicos a considerar en la definición de riesgos, sin embargo, veremos en el desarrollo de nuestros artículos otros aspectos complementarios que se deberán tener en cuenta para toda la gestión de riesgos, es importante también que la información e la gestión de riesgos, se pueda gestionar a través de herramientas que sean de fácil acceso y consulta para las partes interesadas.

Software ISOTools

Algo esencial en un Sistema de Gestión de Riesgos basado en la norma ISO 31000, o en cualquier otro SG, es la consecución de los objetivos planteados, tanto a nivel estratégico, como táctico u operativa.

Pero es difícil lograrlo sin mantener una jerarquía de comunicación y consultas que permita un proceso acertado de toma de decisiones.

Con el Software ISOTools eso se ha terminado. Con su sistema de avisos y notificaciones nunca más tendrá ese problema. Pida información sin compromiso.

ISO 31010

El análisis de los riesgos corresponde a una de las etapas básicas para poder realizar una adecuada gestión de riesgos y contempla la evaluación de los mismos, si bien la norma ISO 31000 nos proporciona directrices generales al respecto, en esta se nos indica que se deben considerar factores como:

• La probabilidad y efectos cuándo se materializa un riesgo.
• El origen y la repercusión de las consecuencias.
• Las interrelaciones y su complejidad.
• El tiempo y los cambios.
• La capacidad y funcionalidad de los controles existentes.
• Los Niveles de aceptación.

La norma ISO 31010 establece técnicas, prácticas, para realizar la evaluación de los riesgos, y también nos proporciona mayor información de los factores que se deben considerar a la hora de realizar el análisis de los mismos, dichas técnicas se describen de forma general a continuación:

• Criterios ALARP y SFAIRP: ALARP por sus siglas en Ingles (As Low As Reasonably Practicable- Tan bajo como sea razonablemente posible) es un criterio que aplica en especial para riesgos de seguridad y salud en el trabajo y sistemas críticos, plantea que se debe analizar el costo de reducir el riesgo y el beneficio que se obtiene, El SFAIRP ( So Far As Is Reasonably Practicable- en la medida en que sea razonablemente posible) en este criterio se realiza una evaluación de los controles establecidos, para determinar si es posible implementar más planes de tratamiento y en caso de ser posible si dichos planes son factibles.
• Diagramas de frecuencia- Número (F-N): corresponde a aun caso particular de la matriz cuantitativa de consecuencia/ probabilidad, es un diagrama en el que el eje X representa un número acumulado de un evento y el eje Y la frecuencia con la que ocurre, de ellos se obtiene unas regiones en las que se determina la aceptabilidad o no del riesgo.
• Gráfico de Pareto: en este se elige un número finito de tareas pero que producen a nivel general un efecto significativo, utilizando el principio de Pareto que indica que el 80% de los problemas son generados por el 20% de las causas (Regla 80/20), sugiere para su aplicación: determinar y enumerar los problemas, reconocer la casusa de cada uno de ellos, clasificar los problemas según su causa, asignar puntos por cada clasificación , graficar las causas que tienen el valor más alto en puntos primero.
• Mantenimiento centrado en la confiabilidad: (Reliability centred maintenance (RCM): en esta técnica se identifica las políticas y actividades de mantenimiento convenientes para un sistema y las partes que lo componen, tiene como objetivo lograr operaciones seguras, accesibles y económicas para todo tipo de quipos, se utiliza en aquellos casos en que la falla o falta de equipos tienen efectos severos en materia de medio ambiente, seguridad, en el aspecto económico y de operatividad.
• Índices de Riesgos: establecen una medida de desempeño de la gestión de riesgos, a través de una medición cualitativa en la que se establecen niveles de riesgos a los que se le asigna una puntuación a aquellos factores que se consideran que intervienen en la magnitud del mismo, por ejemplo: una entidad financiera que realiza prestamos, calcula el riesgo de los clientes utilizando índices que determinan factores de la estabilidad financiera.

Estas técnicas sirven de apoyo y permiten lograr un mayor entendimiento de los riesgos (la comprensión de la incertidumbre y los efectos de esta en caso de materializarse), establecer acciones más eficaces para dar tratamiento a los riegos, son técnicas que se encuentran en constante evolución y para el análisis de los riesgos no necesariamente se precisa el uso de una de ellas en particular, sino la combinación de las mismas, en la norma ISO 31010 también se describen las entradas, y salidas que cada una refiere y las limitantes de las mismas.

ISOTools como herramienta de Gestión de Riesgos

ISOTools es una excelente herramienta para la implementación de un sistema de Gestión de Riesgos. Además de automatizar y promover una monitorización eficaz del proceso, permite una mejor coordinación de las tareas entre los directivos o responsables que hayan sido delegados para tal función.

Siguiendo los principios y las directrices de la norma ISO 31000, esta herramienta aporta ventajas que merecen ser destacadas:

• Ahorra tiempo durante la ejecución de las tareas.
• Permite realizar auto evaluaciones para definir el estado actual de la organización.
• Permite un mejor registro de los datos de los diferentes procesos.
• Realiza comparativas entre análisis de riesgos.
• Permite visualizar el avance de los proyectos y las actividades.
• Relaciona actividades similares o que guarden relación.
• Ofrece cuadros de mando para ilustrar cualquier momento del proceso.
• Permite la realización de análisis de incidencias.
• Ayuda a monitorizar la ejecución de soluciones específicas.

ISO 31022

La nueva ISO 31022 pretende ofrecernos una guía con la que poder gestionar los riesgos legales. Esta nueva norma se encuentra basada en la ISO 31000, pero está mucho más enfocada a los posibles riegos legales, internos y externos, que pueden afrontar las organizaciones. Tiene en cuenta lo que le puede afectar a nuestras partes interesadas, haciendo especial énfasis en la necesidad de analizar el contexto de la organización para poder establecer el alcance y la complejidad de la gestión del riesgo legal.

La nueva ISO 31022 establece 9 principios sobre los que se deben asentar las bases para realizar una correcta gestión de todos los riesgos legales, es decir, que para llevar a cabo la gestión de este tipo de riesgos se deberá:

• Estar integrado. Los riesgos deberán estar integrados con la gobernanza y los procesos que maneja la organización.
• Estructura y fácil comprensión. Es necesario que se adecue al contexto de la empresa y que sea fácil entenderlo por todos.
• Estar personalizado. No solo bastará con contar con una matriz de riesgos legales, sino que debe estar adaptada a la realidad de la empresa. En dicha matriz se deberá analizar el impacto que genera cualquier incumplimiento para la misma.
• Ser inclusivo. Debe incluir a todas las partes interesadas y establecer lo que la organización no puede mitigar y aplicar regulaciones adicionales.
• Dinamismo. Se tienen que monitorear los cambios legales, cambios de políticas de la empresa o cualquier cambio del contexto donde se opera, estableciendo indicadores que permiten anticiparse a todos los cambios.
• Contar con la mejora información. La información no se deberá limitar a lo establecido en la legislación, sino que deberá incluir las experiencias de los consultores legales, etc.
• Mejora continua. La empresa debe tomar en consideración las lecciones aprendidas, las transacciones realizadas, las mejores prácticas, las consultas legales, los resultados de las auditorías y los cambios en la legislación.
• Ser equitativo. Las decisiones que toma la organización a la hora de gestionar los riesgos legales, deben encontrarse fundamentadas en el principio de equidad, teniendo en cuenta el conflicto de intereses, la toma de decisiones, etc.

El proceso de gestión de riesgos legales, según el proceso que establece la norma ISO 31022 se encuentra basado en 4 pasos principales:

• Determinar el contexto
• Identificar los riesgos legales
• Analizar y evaluar los riesgos legales
• Tratar los riesgos.

Lo más interesante es que se incluyen factores sobre lo que se debe llevar a cabo cada uno de los pasos.

Determinar el contexto

La norma ISO 31022 nos establece los factores internos y externos que pueden ser relevantes para realizar una correcta gestión de los riesgos legales. La organización deberá establecer todos los criterios para realizar la gestión de los riesgos legales.

Identificar los riesgos legales

Es necesario establecer el contexto y los criterios, por lo que pasamos de identificar el riesgo, tarea nada fácil en todo el proceso de implementación del sistema de gestión basado en riesgos.

Se hace especial atención a la importancia de la estrecha relación entre los riesgos y el cumplimiento de los objetivos de la empresa.

Análisis y evaluación de riesgos legales

Durante esta etapa, el estándar nos indica que la empresa tiene que realizar una análisis cualitativo y cuantitativo de los riesgos ya identificados en el paso anterior, se evalúa la probabilidad y la consecuencia, todo mediante la realización de consultas a expertos, mejorar las prácticas llevadas a cabo, conocer el histórico de la organización, simulaciones o consultando el estándar IEC 31010.

La norma reitera la importancia de priorizar en cuanto a los riesgos legales evaluados, lo que facilitará la toma de medidas necesarias para realizar el tratamiento de dichos riesgos.

Tratamiento del riesgo

La norma ISO 31022 nos indica que la empresa deberá llevar a cabo soluciones o medidas para poder tratar los riesgos, ofreciendo una guía que presente diferentes opciones con las que conseguir el cumplimiento de los objetivos. El objetivo no es otro que el de mitigar los riesgos legales a los que se encuentran sometidos las organizaciones.

Otra de las consideraciones importantes a tener en cuenta, es la importancia de que exista una política para realizar la gestión de los riesgos legales, y que se encuentren alineadas a los objetivos de la empresa, así como realizar un seguimiento con el fin de conocer las funciones y responsabilidad especificas y los procedimientos integrados en los procesos de la organización.

Es necesario establecer que la norma ISO 31022 sirve de guía, basada en mejorar las prácticas para gestionar los riesgos legales. Esta guía debería ser implementada por todas las organizaciones en las que los directivos no deseen tener quebraderos de cabeza.

Software para la gestión del riesgo

El software ISOTools está especialmente diseñado para permitir una gestión altamente eficaz de los riesgos, consiguiendo una comunicación fluida y la automatización del sistema, lo que evita la pérdida de información entre distintos departamentos, independientemente de la actividad y tamaño de la empresa. La gestión de riesgos necesita fluidez y agilidad, dos requisitos que, sin duda, lograrás con ISOTools.

ISO 31022:2020

En el mes de mayo de 2020 se ha publicado la nueva ISO 31022:2020. Esta norma pertenece a la familia de las normas ISO 31000 que tratan temas relacionados con la gestión de riesgos, sin embargo, es poco conocido el propósito que persigue y para que se utiliza.

Hoy en día muchas organizaciones, sin importar su tamaño, se encuentran poniendo en práctica estrategias de gestión de riesgo con el fin de prevenir todos los problemas que se puedan generar. En estos casos, es necesario establecer el procedimiento en el que se identifiquen, analicen y monitoreen los riesgos.

La norma ISO 31000 cuenta con insumos globales que establecen la realización de una forma adecuada y eficaz para gestionar los riesgos que se encuentran enfocados a la operatividad, al gobierno y a la confianza. Se puede definir como guía o un referente internacional lo que ofrece las directrices y los principios con los que poner en marcha los sistemas de gestión basados en riesgos. La familia de las normas ISO 31000 facilitan que las empresas puedan gestionar los riesgos de una forma efectiva mediante al procedimiento que les permita cumplir con los objetivos.

Los principios para gestionar los riesgos según las normas ISO 31000

Generar valor

Mejora el cumplimiento de los objetivos planificados y de los requisitos legales que se relacionan con la seguridad, la salud laboral, la protección ambiental, etc.

Investigar los procesos de la empresa

Es una gestión que se realiza de forma conjunta con todas las actividades principales de la organización.

Toma de decisiones

Consigue que se lleven a cabo las decisiones que se encuentran relacionadas con los planes de prevención, lo que permite poner en práctica la gestión de riesgos.

La incertidumbre

Es necesario tener en cuenta los aspectos inciertos y la forma en la que se deben tratar.

Sistemática, estructurada y adecuada

Es necesario que se ofrezca un desempeño eficiente y que se puedan conseguir los resultados esperados.

Disponibilidad de la información

Es fundamental que las fuentes de información sean fiables y se basen en las opiniones de los expertos.

A medida

Se enfoca de forma directa a todos los objetivos internos y externos de la empresa.

Factores humanos y culturales

La importancia de los empleados y las personas que estén involucradas en el proyecto son las que pueden ofrecer dificultades o facilitar la operación.

Transparencia

La participación del público de interés lo que permite es que la gestión del riesgo se encuentre perfectamente actualizada.

Mejora continua

Es muy importante conseguir que las organizaciones realicen un diseño de la estrategia para mejorar en todos los aspectos, no solo en la gestión de riesgos.

La norma ISO 31022:2020

Hoy en día, todo tipo de empresas, incluyendo las grandes corporaciones y las ONG´s, se enfrentan a riesgos legales cada vez mucho más desafiantes, incluyendo el hecho de que los requisitos reglamentarios y legislativos para las empresas en muchos países se vuelven más estrictos y la contratación comercial se vuelve mucho más compleja. La tendencia a la globalización económica, el rango de competencia se encuentra moviendo el mercado internacional.

Esto ofrece el resultado de un entorno operativo complejo que expone a las empresas a una variedad mucho más amplia de riesgos legales que los que surgirían de todas las operaciones que se realizan de forma diaria y la toma de decisiones. Cuando las empresas realizan la gestión de sus riesgos legales deberán tener en cuenta que va mucho más halla de cumplir con los requisitos legales, ya que el fin de todo esto será el de crear valor para sus partes interesadas.

El propósito que persigue la nueva norma ISO 31022 es el de guiar a las empresas durante la gestión del riesgo legal, y que se encuentre relacionado con las demás operaciones y actividades. Tiene que ayudar a las empresas a cumplir con los requisitos legales y reglamentarios, administrar el riesgo contractual, tomar mejores decisiones estratégicas en la empresa y mejorar la capacidad de la empresa a la hora de manejar diferentes entornos legales complejos.

Gestión de los riegos legales

La gestión eficiente del riesgo legal y el entorno de control resultante son fundamentales para el gobierno corporativo. La gran parte de la ley que se ha creado para dar respuesta a los vacíos legales que pudieran existir. Sin embargo, se debe tener en cuenta que la gestión del riesgo es mucho más que solo cumplir con la legislación.

Para que sea completamente eficaz, la gestión del riesgo legal se tiene que convertir en una parte integral de la gestión general del riesgo, la cultura de la empresa y las prácticas comerciales cotidianas.

La norma ISO 31022:2020 es un nuevo miembro de la familia de ISO 31000. Si bien la norma ISO 31000 establece los principios y las pautas genéricas para todos los riesgos a los que se enfrentan las empresas, la norma ISO 31022 se dirige a una categoría específica de riesgos legales. Todos los riesgos se tienen que gestionar de forma efectiva para el desarrollo sostenible de las empresas y los riesgos legales que enfrenan a las empresas, suelen suponer grandes desafíos.

La norma ISO 31022:2020 utiliza los principios de la ISO 31000 e implementa el marco de gestión de riesgos y el proceso según las necesidades que surjan en la gestión de riesgos legales. La norma ISO 31022 se encuentra desarrollada para tener la misma estructura que la norma ISO 31000.

Software para la gestión del riesgo

El software ISOTools está especialmente diseñado para permitir una gestión altamente eficaz de los riesgos, consiguiendo una comunicación fluida y la automatización del sistema, lo que evita la pérdida de información entre distintos departamentos, independientemente de la actividad y tamaño de la empresa. La gestión de riesgos necesita fluidez y agilidad, dos requisitos que, sin duda, lograrás con ISOTools.

Gestión de Riesgos corporativos

La gestión de riesgos corporativos ha ganado mucha importancia en los últimos años. Su origen se puede decir que surge a raíz de la gestión financiera, un área en el que se prestaba mucha importancia a la gestión de los riesgos asociados a grandes inversiones económicas, con el fin de controlar muy bien las posibilidades de retorno y obtención de beneficios.

Con la evolución de las organizaciones y la planeación estratégica, la gestión de riesgos llega a otros contextos profesionales a lo largo de los años, ya que toda actividad o proceso organizacional está ligado a una serie de riesgos (laborales, jurídicos, de seguridad y salud, de seguridad de la información, etc).

Actualmente nos encontramos en escenarios más complejos, plagados de riesgos y peligros para las organizaciones, por tanto, las empresas e instituciones requieren de habilidades eficaces de detención de estos riesgos, como por ejemplo la prospección y la estrategia predictiva. Estas y otras son herramientas que se deben de desarrollar en cualquier tipo de organización que quiera tener procedimientos adecuados para la gestión de riesgos de cualquier tipo. No será lo mismo la gestión de riesgos de una entidad financiera que la de una gran empresa constructora. Es más no existen los mismos riesgos en el departamento de contabilidad de una gran constructora, que en una obra que la misma constructora esté llevando a cabo.

Esto nos demuestra que la gestión de riesgos no solo varía de una organización a otra, sino que también lo hace de una determinada parte o departamento de dicha organización a otra/o.

Cada organización deberá de tener muy claro cuales son los riesgos corporativos más importantes para si misma. Para así poder establecer controles y eliminarlos o mitigarlos todo lo posible.

¿Que es la Gestión de Riesgos Corporativos?

ISO 31000:2018, estándar internacional que ofrece las directrices y principios para gestionar el riesgo de las organizaciones, define el riesgo como «el efecto de la incertidumbre sobre los objetivos». La incertidumbre hace referencia al desconocimiento. Es decir el desconocimiento de determinados efectos que provoca la consecución de los objetivos que se quieren cumplir dentro de cada organización. Estos siempre están relacionados con el aspecto económico, aunque no siempre de manera directa. A veces afectan a otros factores muy importantes como por ejemplo el reputacional o la seguridad y salud de las personas. No obstante, estos también afectan a la economía de toda organización.

La gestión de riesgos corporativos es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza, a través de una secuencia de actividades sistemáticas. Su propósito no es otro que el de crear y proteger el valor de las organizaciones. Esto nos lleva a otra pregunta ¿Donde reside el valor de las empresas?

• En el talento humano
• El conocimiento adquirido de los profesionales de cada organización
• La reputación
• La propia marca (branding)
• Los productos y servicios
• El patrimonio (material e inmaterial)
• Etc.

Habrá que concentrarse en ese valor para definirlo y saber como abordar los riesgos que afectan a cada uno de los aspectos, procesos o elementos que lo contienen.

Tipos de riesgos corporativos

Nos encontramos con una gran cantidad, asociados a tantos procesos, contextos, departamentos y partes de toda organización:

• Estratégicos
• Ambientales
• De seguridad de la información
• Asociados a procesos de calidad
• Financieros
• De seguridad y salud ocupacional
• Legales y reglamentarios
• Externos…

Todos aquellos que se producen en el ecosistema de cada organización.

ISO 31000. Riesgos y oportunidades

Como ya hemos indicado, en la ejecución de cada uno de los procesos que se llevan a cabo en una organización, se producen obstáculos, que impiden alcanzar el objetivo deseado. Estos están ligados a un determinado riesgo. Mediante la gestión de riesgos habrá que encontrar la forma o la oportunidad de llevar a cabo esos procesos sin que nos afecten y podamos mitigarlos.

Dentro de la estructura de la norma ISO 31000, estándar normativo internacional dedicado a la gestión de riesgos, nos encontramos con 3 capítulos fundamentales que hacen referencia a la gestión de los riesgos:

• El capítulo 4: que hace referencia a los principios
• El capítulo 5: que se corresponde con el marco de referencia
• El capítulo 6: que está relacionado con los procesos

Las técnicas de ejecución las encontramos en la norma ISO 31010:2019 y las analizaremos en próximos artículos.

Software para la gestión de riesgos coporativos

ISOTools, es un software para la gestión de riesgos. Se trata de una herramienta tecnológica que permite hacer de la gestión de riesgos un proceso rápido y sencillo, facilitando la implementación, automatización y mantenimiento de las actividades de la gestión de riesgos

A través de una sencilla interfaz, permite identificar y administrar los riesgos, integrándolos en todos los procesos de la empresa y permitiendo extrapolar la gestión de riesgos a cualquier actividad que genere la organización. Además, es la mejor opción para alinear la gestión de riesgos, con la estrategia de la empresa.

Sobre la base de los procesos y la lógica del ciclo PHVA (Planear – Hacer – Verificar – Actuar) ISOTools está diseñado para hacer más efectivo el manejo de la documentación, mejorar la comunicación y reducir tiempos y costos. De esta forma se consigue un impacto real sobre la eficiencia, los costos y los resultados de la organización.

Este software, además permite optimizar su Gestión de Riesgos basada en la ISO 31000 como camino hacia la excelencia, pudiendo integrar la norma ISO 31000 con otras normas, como por ejemplo ISO 9001, ISO 45001 o ISO 14001, entre otras, de una forma sencilla, gracias a su estructura modular.

Es el momento de innovar y seguir creciendo, ¿quiere más información? Consúltenos sin compromiso.

ISO 31000

En este artículo vamos a hablar sobre un tema transversal y de gran alcance, la gestión de riesgos según la norma ISO 31000.

Las organizaciones tienen la necesidad de adaptarse rápidamente a los cambios, por lo tanto, deben tener una visión proactiva y prospectiva hacia los escenarios a los que se van a enfrentar.

Actualmente, el mundo está sufriendo diversas situaciones que hacen que las organizaciones estén expuesta a riesgos que hay que controlar. Por ejemplo, en Chile se está viviendo una situación social que ha provocado muchas manifestaciones y por lo tanto, ha traído efectos bastante negativos para algunas organizaciones. No obstante, hay otras situaciones que están generando oportunidades a pesar de las circunstancias.

Lo interesante de todo esto es que la gestión de riesgos da respuesta a esa necesidad que tienen las organizaciones a trabajar en escenarios de incertidumbre, en los cuales no se sabe cómo va reaccionar el entorno. Es muy importante que ese entorno se analice y se conozca para adelantarnos a la adopción de decisiones de forma oportuna, para que no nos afecte negativamente esos escenarios en los cuales estaría sujeta nuestra organización.

Una vez hecha esta introducción sobre la gestión de riesgos, vamos a hablar sobre cómo se encuentran los riesgos a nivel global. Es decir, trataremos sobre los resultados de la medición, cuales son los riesgos más comunes y en qué entorno nos estamos desenvolviendo como organización.

En estos momentos nos encontramos con un entorno que ya se ha popularizado, se trata del entorno VUCA (Volatilidad, Incertidumbre, Complejidad y Ambigüedad).

Se trata de un entorno en el que hay una volatilidad, es decir, las variables con las cuales nos relacionamos en cuanto a política, requisitos legales, etc con la sociedad, medio ambiente, la tecnología que está cambiando constantemente. Se trata de variables que son muy sensibles, por lo que cualquier variabilidad causan cambios importantes.

La gestión de #riesgos da respuesta a esa necesidad que tienen las organizaciones a trabajar en escenarios de #incertidumbre #ISO31000
Compartir en X

En cuanto a la incertidumbre, lo normal es que una organización no pueda anticiparse con mucha precisión, lo cual provoca grandes errores si no existen métodos bien establecidos desde el punto de vista estratégico hasta el punto de vista operativo, tomando en cuenta que la organización bajo la visión que tenemos en cuanto al enfoque a procesos tiene tres capas:

• Estratégica
• Táctica
• Operativa

De forma transversal, tenemos incertidumbre y no sabemos cómo se va a comportar una organización ante distintos escenarios , por lo tanto es necesario implementar métodos para gestionar los riesgos.

Al tratar sobre la complejidad, destacar que cada vez más estamos en un mundo globalizado e interconectado. Se trata de variables con múltiples factores que nosotros no podemos aislar, por ejemplo el aspecto tecnológico del aspecto social.

En el caso de la ambigüedad, se está haciendo referencia a que se encuentran límites difusos en cuanto al alcance que tiene una organización con respecto a la sociedad o por ejemplo, dónde termina el alcance de la organización y los individuos que la componen. Es decir, si el presidente de una organización sin fines de lucro comete un ilícito como individuo, inmediatamente lo vamos a relacionar con la imagen de la organización y se va a ver afectada la reputación de esa organización.

Software para la gestión integrada de todos los riesgos que amenazan a la organización

Con ISOTools identifica y administra los riesgos que cruzan la organización, integrándose en todos los procesos y permitiendo la gestión de riesgos en proyectos, aspectos operativos, financieros, legales, gubernamentales, ambientales, de seguridad y salud o de seguridad TI, entre otros. Además, alinea la estrategia con el apetito por el riesgo.

ISOTools permite el establecimiento del contexto, identificación, análisis y tratamiento hasta la implementación de los procesos necesarios para el seguimiento y medición. Y lo mejor: todo centralizado en un único espacio y con posibilidad de reutilizar de forma intuitiva elementos de su propio inventario de riesgos.

Gestión de Riesgos

Es evidente que los procesos de Gestión de Riesgos no están exentos de problemas. Tal como hemos visto en los apartados anteriores, están compuestos por pasos complejos y que requieren de coordinación y seguimiento permanentes. En este sentido, la norma ISO 31000 ayuda a disminuir los obstáculos en dos sentidos:

En la implementación

Es decir, cuando la empresa ha decidido dar este paso y se presta a realizar las actividades necesarias para la implementación de un Sistema de Gestión de Riesgos. En esta categoría, se pueden distinguir varios tipos de problemas:

1. Resistencia al cambio: Algunas organizaciones no están lo suficientemente preparadas para llevar a la práctica un sistema de este tipo. Bien sea por falta de formación o bien porque no existe un verdadero empoderamiento del proceso, lo cierto es que la clave para atajar este asunto radica en las técnicas de grupo que la dirección ponga en marcha para aumentar el nivel de confianza de sus trabajadores.
2. Inmediatez: Un buen número de organizaciones no están dispuestas a esperar los plazos que se han convenido para la implementación del sistema. Quisieran que todo fuese de una sola vez y sin que tuviesen que invertir tiempo en ello.
3. Criterios distintos: Sucede sobre todo en las grandes empresas. Cuando los grupos de responsables tienen demasiados miembros o su elección no ha seguido parámetros de cierta unidad, lo más común es que entre estas personas se presenten diferencias de criterio a la hora de implementar el plan. Esto se traduce en retrasos, reuniones excesivas y, posiblemente, nombramiento de nuevos integrantes.
4. Falta de una figura coordinadora: Del mismo modo, algunos grupos suelen notar la ausencia de una persona líder que direcciones los procesos. De ahí la importancia de la elección de esa persona en los primeros pasos de la implementación.
5. Incumplimiento de plazos: Por causa de una mala planificación, recursos insuficientes o una comunicación deficiente entre los responsables, algunas veces los procesos de implementación de Gestión de Riesgos incurren en incumplimiento de los plazos previstos. En estos casos, el perjuicio es doble: primero, porque obstaculiza la realización del proyecto en sí mismo; y segundo, porque se pierde tiempo valioso para mitigar o gestionar riesgos que, en muchos casos, tienen carácter urgente.
6. Aplazamiento: Esto sucede cuando el plan ni siquiera llega a implementarse. Se han definido las directrices, las estrategias, los responsables y los recursos, pero por la razón que sea el plan acaba guardado en un archivo de la dirección.

En el mantenimiento

En este caso, hablamos de obstáculos que surgen en la etapa de ejecución del plan de Gestión de Riesgos. Las empresas que ya han dado el paso y se encuentran en las etapas de monitorización pueden encontrarse con los siguientes problemas:

1. Omisión de recursos: Llegados a esta etapa, las empresas descubren que los recursos destinados para el mantenimiento y la supervisión del plan de Gestión de Riesgos no alcanzan; son insuficientes, con lo cual se compromete la continuidad del mismo y se deja en el aire el conjunto de avances realizados hasta la fecha.
2. Ausencia de diagnóstico previo: Si se han hecho cálculos errados en las primeras etapas, lo más probable es que las proyecciones también lo sean. En estos casos, los procesos requieren de un replanteamiento general.

Automatización del Sistema de Gestión de Riesgos según ISO 31000

Las nuevas tecnologías plantean un escenario inmejorable para la Gestión de Riesgos Corporativos. En los últimos años, los avances en ese sentido han puesto a disposición de las empresas numerosas herramientas que contribuyen a agilizar los procesos y a hacerlos más eficaces y acordes con las necesidades.

Cuando una empresa aplica este tipo de herramientas, los resultados no sólo son más precisos, sino que, además, arrojan información de utilidad en el momento de aplicar las soluciones o los correctivos pertinentes.

Ni qué decir, claro, de aquellas organizaciones que trabajan con información digital y servicios informáticos. Aparte de ser una necesidad, supone también una ventaja que las diferencias de sus competidores y les sitúa un escalón por encima a la hora de iniciar la monitorización y el seguimiento de las acciones.

ISOTools como herramienta de Gestión de Riesgos

ISOTools es una excelente herramienta para la implementación de un sistema de Gestión de Riesgos. Además de automatizar y promover una monitorización eficaz del proceso, permite una mejor coordinación de las tareas entre los directivos o responsables que hayan sido delegados para tal función.

Siguiendo los principios y las directrices de la norma ISO 31000, esta herramienta aporta ventajas que merecen ser destacadas:

• Ahorra tiempo durante la ejecución de las tareas.
• Permite realizar auto evaluaciones para definir el estado actual de la organización.
• Permite un mejor registro de los datos de los diferentes procesos.
• Realiza comparativas entre análisis de riesgos.
• Permite visualizar el avance de los proyectos y las actividades.
• Relaciona actividades similares o que guarden relación.
• Ofrece cuadros de mando para ilustrar cualquier momento del proceso.
• Permite la realización de análisis de incidencias.
• Ayuda a monitorizar la ejecución de soluciones específicas.