ISO 31000, ISO 31010 e ISO 22301
Como se adelantó en la anterior entrega, existen nomas específicas para la gestión del riesgo. Se trata de ISO 31000 e ISO 31010 y, con un enfoque mucho más general, que exige la evaluación del riesgo, de ISO 22301:2013.
Hay que aclarar que las normas ISO 9001:2015 e ISO 14001:2015 no exigen la utilización de ninguna norma concreta ni de herramientas específicas para evaluar los riesgos. Sin embargo, la tradición metodológica en materia de Calidad aporta muchas herramientas, entre las que se encuentran las mencionadas en el artículo anterior. La diferencia entre la utilización de herramientas independientes y apoyarse en referencias como ISO 31000 es una cuestión de “amplitud de miras”: utilizar la evaluación y gestión de riesgos como una herramienta más de gestión, en el primer caso, o considerarla su base misma, en el segundo.
ISO 31000:2009 es una referencia para integrar el proceso de gestión del riesgo dentro del gobierno corporativo de la organización, incidiendo en su estrategia, planificación, política, valores, cultura, procesos de información etc., es decir, que se trata de una norma de gestión en toda regla.
La norma está estructurada en tres elementos clave, siento el tercero de ellos el más relevante (al menos según la percepción de quien escribe):
- Principios para la gestión de riesgos, necesarios para garantizar una efectiva gestión de riesgos. Son los siguientes: crear y proteger el valor, estar integrada en todos los procesos de la organización, ser parte de la toma de decisiones, tratar explícitamente la incertidumbre, ser sistemática, estructurada y oportuna, basarse en la mejor información disponible, alinearse al contexto y al perfil de riesgos de la organización, tener en cuenta los factores humanos y culturales, ser transparente e inclusiva, ser dinámica y sensible al cambio y, por último, facilitar la mejora continua.
- Marco de trabajo. Se refiere a la estructura de soporte que lleva a la empresa a integrar la gestión del riesgo en la gestión de la organización. Dicha estructura ha de basarse en el cumplimiento de una serie de premisas: la existencia de una política de gestión de riesgos, de indicadores de desempeño, el alineamiento de los objetivos de gestión de riesgos con los objetivos empresariales, asegurarse del cumplimiento legal y normativo, garantizar los recursos adecuados para garantizar la gestión del riesgo, establecer medios para la comunicación interna y externa y todo ello partiendo de un conocimiento exhaustivo de la organización y de su contexto (véase la relación con lo exigido por la nueva ISO 9001:2015). El objetivo de este epígrafe no es tanto indicar las exigencias para la implantación de un sistema de gestión específico, como de marcar las pautas para la integración del sistema de gestión del riesgo con el de Calidad implantado.
- Proceso de gestión de riesgos. Se trata del elemento fundamental de la norma; en él se describe el proceso de gestión, propiamente dicho. El proceso parte del establecimiento previo de canales de comunicación y consulta de cara a garantizar las vías de entrada de información. A partir de ahí arranca un proceso que abarca las siguientes fases:
- Establecimiento del contexto. Analizando el contexto interno y el externo, desde todos los puntos de vista, el alcance del análisis y del proyecto de evaluación, la metodologías y criterios de evaluación y la relación con otros proyectos.
- Identificación de riesgos: sucesos y causas
- Análisis del riesgo, estimando la probabilidad y las consecuencias teniendo en cuenta los controles existentes
- Evaluar los riesgos, según diversas metodologías o apoyándose en la norma ISO 31010
- Establecer decisiones: evitar el riesgo, aceptarlo o incrementarlo para generar una oportunidad, eliminar la fuente del riesgo, cambiar la probabilidad, cambiar las consecuencias, compartir el riesgo con terceros (incluyendo contratos y financiación) o mantener el riesgo por decisión propia.
- Tratamiento de los riesgos, dependiendo de la estrategia decidida, identificando opciones de tratamiento, evaluándolas, seleccionando las opciones y preparando e implementando los planes de tratamiento.
Por último, la norma establece la obligación de implementar un proceso de seguimiento y medición de la evaluación de riesgos, ya que el contexto y otros factores pueden variar con el paso del tiempo.
ISO 31010:2009 es un buen complemento a ISO 31000 porque recoge de manera exhaustiva todo el proceso de evaluación del riesgo y ofrece un extenso catálogo de métodos (entre los que se encuentran los comentados en el artículo anterior), con indicaciones sobre la utilidad y ventajas de cada uno de ellos.
Por otro lado, como norma de referencia directamente relacionada con la gestión del riesgo, esta vez enfocada desde un punto de vista más amplio, podemos hacer algún comentario sobre ISO 22301:2013. Esta norma, denominada “Seguridad de la Sociedad: Sistemas de Continuidad del Negocio”, aparece como producto de una evolución de normas (sobre todo BS 25999), buenas prácticas y estándares en continuidad del negocio desarrolladas desde mediados de la década pasada.
Las interrupciones en el funcionamiento normal de una organización son acontecimientos que afectan a la continuidad de negocio. Los desastres naturales, las caídas de los sistemas de información y las comunicaciones, los accidentes, o los fallos energéticos suceden y hay que estar preparado para afrontarlos. La Norma ISO 22301 pretende ser una respuesta a los imprevistos que pueden ocurrir en cualquier momento y poner en jaque la continuidad de cualquier organización.
La estructura de ISO 22301 es exactamente igual que la de ISO 9001:2015, y comparte la mayor parte de sus requisitos, estando las principales diferencias en el capítulo 8, que recoge los siguientes epígrafes:
- Planificación y control operacional
- Análisis de impacto en el negocio y apreciación del riesgo
- Estrategia de continuidad del negocio
- Establecimiento e implantación de procedimientos de continuidad del negocio
- Pruebas y ensayos
A su vez el capítulo 9 se ve reducido a tres epígrafes:
- Supervisión, medición, análisis y evaluación,
- Auditoría interna
- revisión de la dirección
Como puede verse, ISO 22301 no es una norma de evaluación del riesgo, sino una norma que exige la evaluación del riesgo, de forma que ISO 31000 e ISO 31010 se convierten en herramientas para su cumplimiento.
Desde luego, la integración de sus exigencias con ISO 9001:2015 resulta muy sencilla.