• Author / Uploaded
• Liliana

Citation preview

ENSAYO ISO 31000: 2009 Las organizaciones están expuestas a factores internos y externos que pueden afectar la consecución de sus objetivos, esta incertidumbre que se genera es el denominado “Riesgo”, el cual debe ser gestionado. Como base para la gestión del Riesgo existen varias normas entre las cuales está la ISO 31000:2009, que es el objeto de este ensayo. Esta norma se puede aplicar a cualquier tipo de organización, actividad, tipo de riesgo o su naturaleza, quiere decir esto que sus directrices son genéricas que permite realizar una gestión sistemática, transparente y creíble. El propósito de esta norma es tener una interacción y apoyo con las otras normas que tenga implementada la organización. Esta norma no es certificable. El enfoque de la norma está basado en los principios para la gestión del riesgo, el marco de referencia y los procesos de gestión del riesgo. 1. PRINCIPIOS PARA LA GESTIÓN DEL RIESGO 

Contribuir al logro de los objetivos.



Se integra a los procesos de la organización.



Es parte importante en la toma de decisiones.



Trata directamente la incertidumbre.



Es sistemática, estructurada y adecuada.



Se basa en fuentes de información.



Adaptabilidad a la organización.



Tiene en cuenta los factores humanos y culturales.



Es transparente e inclusiva.



Es de dinámica, reiterativa y receptiva.



Facilita en la organización en la mejora continua.

2. MARCO DE GESTIÓN DEL RIESGO Este marco ayuda gestionar eficazmente el riesgo mediante la aplicación del proceso para la gestión del riesgo en los diversos niveles y en contextos específicos de la organización. Esto permitirá que la información acerca del riesgo derivada del proceso se reporte adecuadamente y sirva de fundamento para tomar decisiones y hacer rendición de cuentas en la organización. En este se describe como se interrelacionan reiterativamente los componentes del marco de referencia, como se muestra en la figura.

3. PROCESOS El proceso de gestión del riesgo comprende las actividades que se describen en los numerales 5.2 al 5.6 de la ISO 31000, tal como se relacionan a continuación: 3.1. Comunicación y consulta (5.2): Se debe hacer este plan al inicio y debe darse durante las fases y/o etapas para gestionar los riesgos, esto con el fin de facilitar la interacción de los involucrados.

el

3.2. Establecimiento del contexto (5.3). la organización con base en sus objetivos, establece los medidas externas e internas a tener en cuenta al gestionar el riesgo y define alcance y criterios del riesgo para seguir el proceso.

3.3. Valoración del Riesgo (5.4). Comprende la Identificación del riesgo, Análisis del riesgo y Evaluación del riesgo 3.3.1. Identificación del riesgo identificar las fuentes de riesgo, las (5.4.2) áreas de impacto, los eventos con sus respectivas causas y consecuencias potenciales. El propósito es crear una gran lista de riesgos con base en aquellos eventos que

podrían impactar el cumplimiento de los objetivos, sin importar si puede ser controlado por la organización. 3.3.2. Análisis del riesgo (5.4.3): a través del análisis del riesgo se establecen las involucra las causas y fuentes de riesgo, consecuencias y la probabilidad de que suceda. También se deberían considerar los controles existentes y su eficacia y eficiencia. El análisis puede ser cualitativo, semicuantitativo o cuantitativo, o una combinación de estos, ya que se podrían presentar casos complejos que requieren de un mejor análisis. 3.3.3. Evaluación del riesgo (5.4.4) En esta se compara el nivel de riesgo derivado de la etapa de análisis realizado anteriormente y de los criterios del riesgo establecidos al considerar el contexto. Con base en esta información se establece la necesidad de tratamiento de los riesgos, también es posible que se tome la decisión de no tratar el riesgo específicamente solo aplicando los controles que tiene la organización. Esto depende de la forma y criterio que la organización tenga establecido para este tipo de temas.

3.4. Tratamiento del Riesgo (5.5). En esta etapa se puede seleccionar una o más alternativas para minimizar los riesgos y la implementación de de las mismas. Entre las alternativas se tiene evitar el riesgo, aumentar el riesgo (positivo), retirar la fuente de riesgo, compartirlo o retenerlo. El tratamiento del riesgo tiene implícito: valorarlo, tolerabilidad del riesgo residual, generación de nuevos tratamientos para riesgos no tolerables. Para escoger los tratamientos mas adecuados se debe tener un balance entre costos y trabajo de aplicación comparado con los beneficios que genera a la organización. Los planes de tratamiento debe incluir entre otros justificación de la selección, responsables de aprobación e implementación, actividades, recursos, restricciones, medidas de desempeño, tiempo y cronograma

3.5. Monitoreo y revisión (5.6): El monitoreo y revisión debe ser periódicos. Las responsabilidades de esta etapa deben establecerse previamente. En esta se evaluar el desempeño, eficacia y eficiencia de lo planeado y ejecutado, lecciones aprendidas, retroalimentación de información que permita ajustar la valoración del riesgo, detección cambios en el contexto externo e interno, identificación los riesgos emergentes. Se debe divulgar los resultados de este monitoreo a los involucrados y ser utilizados para validar el marco de referencia.

Al hacer la comparación con la gestión de riesgos del PMBOK, podemos observar que la ISO 31000:2009 es muy general, como es normal en las normas ISO no se establece una metodología que facilite la implementación. Por el contrario en el PMBOK se establecen claramente los pasos a seguir indicando técnicas que le permiten a las organizaciones ser mas precisos en el proceso de implementación. En el caso particular para la organización implementaría la gestión de riesgos del PMBOK y complementaría con los numerales de comunicaciones y consulta y el establecimiento del contexto, esto con el fin de fortalecerlo aun mas.