stringtranslate.com

ISO 31000

La ISO 31000 es una familia de normas internacionales relacionadas con la gestión de riesgos codificadas por la Organización Internacional de Normalización . [1] La norma tiene como objetivo proporcionar un vocabulario y una metodología consistentes para evaluar y gestionar el riesgo, resolviendo las ambigüedades históricas y las diferencias en las formas en que se describe el riesgo. [1]

Introducción

La ISO 31000 se publicó como norma el 13 de noviembre de 2009 y proporciona un estándar para la implementación de la gestión de riesgos. Al mismo tiempo se publicó una Guía ISO/IEC 73 revisada y armonizada. El objetivo de la ISO 31000 es que sea aplicable y adaptable para "cualquier empresa, asociación, grupo o individuo público, privado o comunitario". [2] En consecuencia, el alcance general de la ISO 31000, como familia de normas de gestión de riesgos, no está desarrollado para un grupo industrial, sistema de gestión o campo temático en particular, sino para proporcionar una estructura y una guía de mejores prácticas para todas las operaciones relacionadas con la gestión de riesgos. Comenzó el proceso para su primera revisión el 13 de mayo de 2015. [3] Un borrador de norma internacional (DIS), que estaba abierto a comentarios públicos, se publicó el 17 de febrero de 2017. [4] La ISO 31000 ha sido criticada por su falta de solidez y lenguaje engañoso. [5]

A principios de 2018 se añadió una actualización a la norma ISO 31000. La actualización es diferente en el sentido de que "ofrece una orientación más estratégica que la ISO 31000:2009 y pone más énfasis tanto en la participación de la alta dirección como en la integración de la gestión de riesgos en la organización". [6] La nueva versión (ISO 31000:2018) fue aprobada y se convirtió en la nueva norma. Se revisó y confirmó por última vez en 2023. Por lo tanto, esta versión sigue vigente. [7]

Alcance

La norma ISO 31000 proporciona un conjunto de principios, directrices para el diseño y la implementación de un marco de gestión de riesgos y recomendaciones para la aplicación de un proceso de gestión de riesgos. El proceso de gestión de riesgos descrito en la norma ISO 31000 se puede aplicar a cualquier actividad, incluida la toma de decisiones a todos los niveles.

La diferencia entre los términos marco de gestión de riesgos y proceso de gestión de riesgos se describe por la ISO de la siguiente manera:

Marco de gestión de riesgos: conjunto de componentes que proporcionan las bases y los mecanismos organizativos para diseñar, implementar, supervisar, revisar y mejorar continuamente la gestión de riesgos en toda la organización. Con la ayuda del ciclo PDCA , el sistema puede mejorarse de manera continua. [8]

Proceso de gestión de riesgos: aplicación sistemática de políticas, procedimientos y prácticas de gestión a las actividades de comunicación, consultoría, establecimiento del contexto e identificación, análisis, evaluación, tratamiento, seguimiento y revisión de los riesgos. En otras palabras, lo que hace la ISO 31000 es formalizar las prácticas de gestión de riesgos, y este enfoque tiene por objeto facilitar una adopción más amplia por parte de las empresas que requieren una norma de gestión de riesgos empresariales que se adapte a múltiples sistemas de gestión "silocéntricos". [9]

El alcance de este enfoque de gestión de riesgos es permitir que todas las tareas estratégicas, de gestión y operativas de una organización a lo largo de proyectos, funciones y procesos se alineen con un conjunto común de objetivos de gestión de riesgos.

En consecuencia, la norma ISO 31000 está dirigida a un amplio grupo de partes interesadas que incluye:

Definiciones

Uno de los cambios de paradigma clave propuestos en la norma ISO 31000 es un cambio en la forma de conceptualizar y definir el riesgo. En la norma ISO 31000 y en la Guía ISO 73, la definición de "riesgo" ya no es "posibilidad o posibilidad de pérdida", sino "efecto de la incertidumbre sobre los objetivos", lo que hace que la palabra "riesgo" se refiera tanto a las consecuencias positivas de la incertidumbre como a las negativas.

Una definición similar fue adoptada en la norma ISO 9001:2015 (Norma de Sistemas de Gestión de Calidad [10] ), en la que el riesgo se define como “efecto de la incertidumbre”. Además, allí se introdujo un nuevo requisito relacionado con el riesgo, el “pensamiento basado en el riesgo” [11] .

Asimismo, en la norma ISO 31000 se estableció una nueva definición amplia de parte interesada: “Persona o personas que pueden afectar, verse afectadas o percibirse afectadas por una decisión o actividad”. Se trata de la definición textual que se da para el término “parte interesada” tal como se define en la norma ISO 9001:2015.

Enfoque de marco

La norma ISO 31000:2009 se ha desarrollado sobre la base de una norma existente sobre gestión de riesgos, la AS/NZS 4360:2004 (en la forma de la AS/NZS ISO 31000:2009). Mientras que el enfoque inicial de Standards Australia proporcionaba un proceso mediante el cual se podía llevar a cabo la gestión de riesgos, la ISO 31000:2009 aborda todo el sistema de gestión que respalda el diseño, la implementación, el mantenimiento y la mejora de los procesos de gestión de riesgos.

Implementación

La norma ISO 31000 tiene como objetivo su aplicación en los sistemas de gestión existentes para formalizar y mejorar los procesos de gestión de riesgos, en lugar de sustituirlos por completo por prácticas de gestión tradicionales. Posteriormente, al implementar la norma ISO 31000, se prestará atención a la integración de los procesos de gestión de riesgos existentes en el nuevo paradigma abordado en la norma.

El enfoque de muchos programas de "armonización" de la norma ISO 31000 [12] se ha centrado en:

Trascendencia

Si bien la adopción de cualquier nueva norma puede tener implicaciones de reingeniería para las prácticas de gestión existentes, en esta norma no se establece ningún requisito de conformidad. Se describe un marco detallado para garantizar que una organización tendrá "las bases y los mecanismos" necesarios para incorporar las capacidades organizativas necesarias a fin de mantener prácticas de gestión de riesgos exitosas. Los fundamentos incluyen la política de gestión de riesgos, los objetivos y el mandato y el compromiso de la alta dirección. Los mecanismos incluyen planes, relaciones, responsabilidades, recursos, procesos y actividades.

En consecuencia, los titulares de puestos de alto nivel en una organización de gestión de riesgos empresariales deberán ser conscientes de las implicaciones de la adopción de la norma y ser capaces de desarrollar estrategias eficaces para implementar la norma, integrándola como parte integral de todos los procesos organizacionales, incluidas las cadenas de suministro y las operaciones comerciales. [13] En los dominios que conciernen a la gestión de riesgos que pueden operar utilizando procesos de gestión de riesgos relativamente poco sofisticados, como la seguridad y la responsabilidad social corporativa, se requerirán cambios más materiales, como la creación de una política de gestión de riesgos claramente articulada, la formalización de los procesos de propiedad de los riesgos, la estructuración de procesos marco y la adopción de programas de mejora continua.

Ciertos aspectos de la rendición de cuentas de la alta dirección, la implementación de políticas estratégicas y los marcos de gobernanza eficaces, incluidas las comunicaciones y la consulta, requerirán una mayor consideración por parte de las organizaciones que han utilizado metodologías de gestión de riesgos anteriores que no especificaban dichos requisitos.

Gestión de riesgos

La norma ISO 31000 ofrece una lista sobre cómo abordar el riesgo:

  1. Evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo
  2. Aceptar o aumentar el riesgo para aprovechar una oportunidad
  3. Eliminar la fuente de riesgo
  4. Cambiando la probabilidad
  5. Cambiando las consecuencias
  6. Compartir el riesgo con otra o varias partes (incluidos los contratos y la financiación del riesgo)
  7. Retener el riesgo mediante decisiones informadas

Acreditación

La norma ISO 31000 no ha sido desarrollada con la intención de certificar. (2009)

Historia

Véase también

Referencias

  1. ^ ab Purdy, G (2010). "ISO 31000:2009: Establecimiento de un nuevo estándar para la gestión de riesgos". Análisis de riesgos . 30 (6): 881–886. Bibcode :2010RiskA..30..881P. doi :10.1111/j.1539-6924.2010.01442.x. PMID  20636915.
  2. ^ Catálogo ISO 31000 http://www.iso.org/iso/catalogue_detail.htm?csnumber=43170
  3. ^ "La revisión de la norma ISO 31000 sobre gestión de riesgos comenzó el 13 de mayo de 2015". ISO . 13 de mayo de 2015 . Consultado el 23 de febrero de 2017 .
  4. ^ "ISO/DIS 31000 – Gestión de riesgos – Directrices". ISO . Consultado el 23 de febrero de 2017 .
  5. ^ Aven, Terje y Marja Ylönen. "El gran poder de las normas en los campos de seguridad y riesgo: ¿una amenaza para el desarrollo adecuado de estos campos?". Ingeniería de confiabilidad y seguridad de sistemas 189 (2019): 279-286.
  6. ^ https://www.iso.org/files/live/sites/isoorg/files/store/en/PUB100426.pdf [ URL básica PDF ]
  7. ^ ISO (7 de mayo de 2024). «ISO 31000:2018». ISO.org . Consultado el 7 de mayo de 2024 .
  8. ^ "Gestión de riesgos estandarizada: ISO 31000". Guía de inicio de IONOS . 6 de agosto de 2020 . Consultado el 16 de junio de 2022 .
  9. ^ "optaresystems.com". www.optaresystems.com .
  10. ^ "ISO 9001:2015 – ¡Recién publicada! (23 de septiembre de 2015)". ISO . 23 de septiembre de 2015 . Consultado el 23 de febrero de 2017 .
  11. ^ "Riesgo y la revisión de la norma ISO 9001" . Consultado el 23 de febrero de 2017 .
  12. ^ "optaresystems.com". www.optaresystems.com .
  13. ^ Implicaciones para la adopción de ISO http://www.optaresystems.com/index.php/optare/publication_detail/iso_31000_update_what_it_will_mean_for_a_cso/

Enlaces externos