La nueva certificación AENOR según la Norma UNE-ISO 31000:2018 está enfocada principalmente a la gestión del riesgo corporativo, pero su integración en todos los niveles de la organización permite avanzar en la gestión de otros tipos de riesgos más específicos como los operativos, jurídicos, financieros o estratégicos. En este artículo se analizan los principales aspectos de esta certificación.
Lucía Ortiz
Dirección de Operaciones de Conformidad
AENOR
Las organizaciones de todo tipo y tamaño se enfrentan a factores e influencias externas e internas que hacen incierto si conseguirán lograr los objetivos que se han planteado. Asimismo, las exigencias por parte de los grupos de interés son cada vez mayores: los clientes precisan de servicios o productos más sostenibles, de empleados saludables, de asegurar el cumplimiento de una legislación cada vez más rigurosa, etc.
Los desafíos son múltiples en unos mercados cada vez más globalizados y cambiantes. Las nuevas tecnologías están generando nuevas amenazas (ciberincidentes, fallos IT, pérdida de información, etc.), así como la aparición de nuevos modelos de negocio y competidores (e-commerce, Redes Sociales, etc.). Los riesgos tradicionales, como los generados por catástrofes naturales, incidentes con fuego o explosiones, continúan ocasionando desafíos importantes, mientras que otras amenazas como la interrupción del negocio a lo largo de toda su cadena y los ciberincidentes son de las principales preocupaciones según el Allianz Risk Barometer 2019. Otros aspectos como el riesgo reputacional, los cambios regulatorios o la falta de determinados perfiles muy especializados también son un reto para las organizaciones en un entorno corporativo que evoluciona a diario.
Al hablar de riesgo es importante conocer su definición, que ha evolucionado desde la publicación de la Norma UNE-ISO 31000:2018 Gestión del riesgo. Directrices. Así, se entiende como el efecto de la incertidumbre sobre los objetivos, considerando que un efecto es una desviación de aquello que se espera, sea positivo (entendido como oportunidades) o negativo (en su visión más tradicional del riesgo). También que los objetivos pueden tener aspectos diferentes (por ejemplo, financieros, ambientales, sobre salud y seguridad, etc.) y se pueden aplicar en niveles distintos (estratégico, en toda la organización, en proyectos, productos y procesos). Dichas desviaciones se producen por la presencia de la incertidumbre entendida como la deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad de ocurrencia.
Este concepto conduce a una evolución hacia una visión más estratégica en la gestión, en la que se tienen en cuenta tanto los riesgos como las oportunidades (desviaciones positivas) como base fundamental en la toma de decisiones para alcanzar los objetivos de negocio planteados. Con ello, se pretende que la organización identifique aquellos escenarios posibles en los que podrían no cumplirse los resultados esperados, y establezca las acciones pertinentes para abordar esas desviaciones.
En ese contexto, las organizaciones necesitan asegurarse de que gestionan todos sus riesgos de manera global para sobrevivir en un entorno cada vez más complejo y competitivo. Con la implantación de un modelo de gestión del riesgo según las directrices de la Norma UNE-ISO 31000:2018 se consigue obtener una mejor identificación de amenazas y oportunidades, llevar a cabo una mejor toma de decisiones, aumentar la probabilidad de alcanzar los objetivos planteados, mejorar la confianza de los grupos de interés, y conseguir una mayor tranquilidad por parte de la alta dirección y los órganos de supervisión. AENOR cuenta con una amplia experiencia en la evaluación de modelos de gestión del riesgo, como el descrito en la Especificación EA 31, y ofrece a las organizaciones la certificación de Gestión del Riesgo según la UNE-ISO 31000. Asimismo, todas aquellas organizaciones certificadas por AENOR según la mencionada especificación deberán realizar la transición de sus certificados hacia la UNE-ISO 31000 antes de finalizar 2020. En este artículo se analizan algunos de los principales aspectos que recoge la Norma UNE-ISO 31000 con el objetivo de facilitar a las organizaciones esta transición, así como la implantación desde un inicio de los requisitos recogidos en la norma.
Figura 1. Principios, marco de referencia y proceso de gestión del riesgo
Fuente: UNE-ISO 31000:2018
Cómo alcanzar tus objetivos
La versión de 2018 de la Norma UNE-ISO 31000 ha dado como resultado un documento más conciso y sencillo de entender. Se centra en la naturaleza iterativa de la gestión del riesgo que apoya a las organizaciones en el establecimiento de una estrategia global, consiguiendo alcanzar sus objetivos gracias a una toma de decisiones basadas en la mejor información disponible. Además, pone especial énfasis en la gestión del riesgo como parte fundamental de la gobernanza; y aporta una directriz más estratégica, implicando en mayor medida a la alta dirección y su liderazgo, así como a la integración de la gestión del riesgo en la organización. Hay que destacar igualmente la incorporación de un rol relevante: los órganos de supervisión, que aseguran y supervisan la gestión del riesgo dentro de la organización.
La Norma UNE-ISO 31000 se basa en tres pilares fundamentales: los principios, el marco de trabajo y el proceso de gestión del riesgo. Estos tres aspectos se presentan en la versión de 2018 como engranajes circulares que giran y se necesitan los unos a los otros para activarse y retroalimentarse (ver figura 1).
En primer lugar, los principios son la base fundamental para la gestión del riesgo que deben tenerse en cuenta cuando se establece el marco de trabajo y el proceso de gestión del riesgo en la organización. Parten del propósito principal, que es la creación y protección del valor y que se consigue a través de una gestión que maximice el logro de los objetivos y mejore el desempeño en muchas áreas, como seguridad y salud en el trabajo, cumplimiento legal, protección ambiental o calidad del producto, entre otras (ver figura 2).
Figura 2. Consideración del riesgo en los sistemas de gestión
Fuente: Guía para la aplicación de UNE-ISO 31000:2018
A continuación, el marco de trabajo establece la estructura necesaria para apoyar una adecuada integración de la gestión del riesgo en todas sus actividades y funciones significativas. Recuerda a la estructura básica de cualquier sistema de gestión y se basa en un ciclo de Deming o de mejora continua. Liderazgo y compromiso, política, asignación de responsabilidades y de recursos, o comunicación y consulta son algunos de sus aspectos principales.
Por último, el proceso de gestión del riesgo es un proceso iterativo que se aplicará a las actividades y procesos de gestión de la organización (ver figura 3). Se inicia con la definición fundamental del alcance (por ejemplo, en el ámbito estratégico, operativo, en un proyecto o una actividad), establecimiento del contexto interno y externo (incluyendo las partes interesadas implicadas) y la definición de los criterios del riesgo (valores de probabilidad de ocurrencia, impacto u otros factores, metodología, nivel de aceptación del riesgo, etc.).
Las siguientes etapas parten de la identificación, evaluación y tratamiento del riesgo. Durante la identificación se genera como resultado una lista exhaustiva de eventos potenciales que pudiesen tener lugar. En el análisis y la evaluación de riesgos, para cada uno de esos riesgos identificados, se asignan unos valores según los criterios establecidos y se obtienen como resultado unos riesgos priorizados por niveles. Esta priorización ayudará a tomar decisiones sobre las acciones que hay que llevar a cabo; es lo que la norma recoge como Tratamiento del riesgo. Por ejemplo, aquellos riesgos tolerables o aceptables serán registrados; los tolerables, pero no inocuos, serán monitorizados; y los inaceptables serán tratados específicamente. Con todo ello es muy habitual presentar el resultado a través de una matriz de riesgos (ver figura 4). Cada una de estas etapas se apoyará en dos fases transversales. Por un lado, una adecuada Comunicación y consulta que promoverá la implicación y toma de conciencia en la organización; y, por otro, un Seguimiento y revisión que permita conocer si lo planteado funciona y si algo se tiene que modificar para mejorarlo.
Figura 3. Relación entre la gestión orientada a procesos y el proceso de gestión del riesgo
p(o) probabilidad de ocurrencia
Fuente: Sergio Simón. Master en Gestión de Riesgos. EALDE Bussines School 2018.
Este gráfico se incluye en la Guía para la aplicación de UNE- ISO 31000:2018
Por qué implantar la UNE-ISO 31000
Las empresas no llevan a cabo su actividad de manera aislada y dependen de sus grupos de interés y su contexto para lograr el éxito en su actividad. La Norma UNE-ISO 31000 establece las bases para crear una cultura del riesgo dentro de la organización para que sea consciente del entorno en el que se encuentra. La Gestión del Riesgo es aplicable a cualquier organización independientemente de su tamaño, actividad, tipos de riesgos y localización. Se enfoca al riesgo corporativo y se debería integrar en todos los niveles de la organización, permitiendo el avance en la gestión de otros tipos de riesgos más específicos y en detalle como los operativos, jurídicos, financieros o de personal. Dar cumplimiento a los aspectos recogidos en la UNE-ISO 31000 implica disponer de una sistemática y una metodología para llevar a cabo una gestión global del riesgo de manera eficaz. Además, permite a las organizaciones tratar integradamente y teniendo en cuenta su interrelación con diferentes tipos de riesgos; esto es, los relacionados con la prestación del servicio y satisfacción de sus clientes, con la protección ambiental, la seguridad y salud en el trabajo, con la gestión de las necesidades de sus grupos de interés o los riesgos financieros, entre otros.
Al incluir aspectos basados en el ciclo de mejora continua y en la Estructura de Alto Nivel de las normas ISO de sistemas de gestión, la Norma UNE-ISO 31000 constituye una herramienta compatible e integrable con otros sistemas de gestión reconocidos, como el de Gestión de la Calidad ISO 9001, Ambiental ISO 14001 o Seguridad y Salud en el Trabajo ISO 45001, entre otros.
Aunque la Norma UNE-ISO 31000 mantiene en esta última versión el planteamiento como una guía de directrices y recomendaciones para la gestión del riesgo, se cimentan claramente las bases de un futuro sistema de gestión y se aporta una alineación con otros sistemas de gestión, al incluirse muchos de los elementos comunes propios de los sistemas de gestión. Para la certificación AENOR de Gestión del Riesgo según la UNE-ISO 31000 se tratan todas las recomendaciones que se recogen en el documento como aspectos de obligado cumplimiento. Supone un reconocimiento a las organizaciones con vocación de continuidad y conscientes de la realidad a la que están expuestas, así como de los riesgos a los que se enfrentan.
Las organizaciones que partan de cero en la implantación de la UNE-ISO 31000 se enfrentarán a un proceso similar al del resto de sistemas de gestión. Inicialmente se lleva a cabo una auditoría dividida en dos fases: una fase I en la que se realiza un estudio documental del sistema, se confirma el alcance y se comprueba que existe un nivel adecuado de implantación. Y una fase II en la que se evidencia lo descrito en la documentación y el cumplimiento efectivo de aquellos requisitos establecidos. Si existe conformidad, se procederá a la emisión de un certificado y posteriormente, de manera anual, se comprobará a través de las auditorías de seguimiento que se mantiene las condiciones que dieron lugar a la concesión del certificado de Gestión del Riesgo.
Figura 4. Evaluación de riesgos: Matriz P-1. Probabilidad - Daños
Beneficios de la certificación
Partiendo del contexto actual en el que se exige la máxima eficiencia en la gestión y con una menor tolerancia al riesgo por parte de la sociedad, las ventajas al implantar este modelo de Gestión del Riesgo son numerosas. Las organizaciones se vuelven más conscientes de la realidad, se consigue una mejora en la toma de decisiones sistematizándola y llevándola a cabo según la mejor información disponible, lográndose que la incertidumbre se reduzca y se optimicen los resultados y los recursos.
Asimismo, esta certificación aporta confianza al mercado y seguridad a los órganos de gobierno, facilitando la transparencia y comunicación con las partes interesadas de la organización. Por último, contribuye a estar preparados para responder ante situaciones de crisis, reduciendo sus consecuencias de forma que la continuidad de la organización no se vea comprometida.
Video. AENOR certifica la gestión del riesgo con ISO 31000
Entrevista
“La certificación es una garantía de continuidad de servicio”
Juan Luis Pozo
Director del Área de Sostenibilidad Corporativa
Global Omnium
¿Cuál fue la motivación de Aguas de Calpe para apostar por la certificación UNE-ISO 31000?
En el siglo XXI, en la era de la transformación digital, del cambio climático, de la ciberseguridad y de la adaptación vertiginosa de los modelos de gestión a los retos anteriores la única opción, olvidando “la encomienda a la diosa fortuna”, es la de planificar la capacidad de respuesta y resiliencia en el presente. Aguas de Calpe lleva muchos años demostrando su compromiso con la planificación de la capacidad de respuesta y resiliencia para garantizar la continuidad de la prestación de un servicio público y esencial, como es la gestión del agua. Por ello, podemos afirmar sin lugar a equivocación, que hoy en día una gran parte de la garantía de continuidad de servicio para que el agua siga llegando en calidad y cantidad suficientes a los ciudadanos de Calpe, la proporciona la implantación de las herramientas que dan soporte a esta importantísima certificación ISO 31000.
¿Cómo fue el proceso de implantación, a qué retos tuvieron que enfrentarse?
El bagaje de Aguas de Calpe en materia de gestión de riesgos afortunadamente es amplio e intrínseco en la cultura empresarial de la organización, certificada desde hace varios años bajo el referencial EA31. Así, la gestión de riesgos se ha convertido en la certificación líder de un modelo integrado de un importante grupo de normas que dan soporte a este sistema (ISO 9001, ISO 14001, ISO 45001, ISO 50001, UNE 178101-1). Sin embargo, la transición a la ISO 31000 nos ha sorprendido por ser un proceso riguroso y exigente, lo que agradecemos pues el principal reto al que nos enfrentamos es el convencimiento para nuestro cliente interno de los beneficios en los procesos operativos bajo un modelo implantado, verificado y certificado anualmente.
¿Qué beneficios y mejoras han detectado tras obtener la certificación?
Innumerables, especialmente todo lo que tiene relación con el riesgo reputacional; Aguas de Calpe siempre ha confiado en la importancia de la evaluación de conformidad con un referencial, pero pasar de la EA31 a la ISO 31000 es dar un salto cualitativo en la solvencia empresarial, del reconocimiento de un estándar internacional.
¿Cómo lo perciben sus distintos públicos, internos y externos?
Hace obvia y evidente nuestra vocación de proporcionar indicadores veraces a nuestros clientes externos de nuestra capacidad de respuesta y resiliencia ante cualquier contingencia, lo que al mismo tiempo se traduce en seguridad y confianza sobre el desempeño de su labor para nuestro cliente interno.
Experiencias
Creando modelos predictivos para prevenir el riesgo
Miguel Molina
Consejero Delegado
Marktel
Marktel, empresa con más de 20 años de experiencia ofreciendo a nuestros clientes una experiencia omnicanal con servicios personalizados de Outsourcing de Procesos de Negocio (BPO), Multimedia Contact Center, gestión del Fraude, Créditos y Cobros, y Outsourcing Tecnológico ha obtenido la certificación AENOR con la UNE-ISO 31000:2018 Gestión Estratégica y Global del Riesgo, una norma que se integra de manera natural en nuestro sistema de gestión, englobando entre otras normas la UNE-EN ISO/IEC27001:2017, UNE-EN ISO 14001:2015 y UNE-EN ISO 9001:2015, además de cumplir los estándares de seguridad PCI DSS en aquellos servicios que lo demandan.
Hemos seguido las directrices de la certificación de AENOR y asentado las bases necesarias para implantar de manera exitosa en nuestra organización un sistema de gestión del riesgo que está basado en percibir el riesgo como una oportunidad de mejora en nuestro desempeño funcional.
La intención de la compañía por agregar cada vez más valor a los clientes nos llevó a enmarcarnos en un marco plurianual que denominamos Horizonte XXI que contempla la mejora continua, transformación y evolución completa de la compañía en las múltiples dimensiones de la misma. Se trata de un ambicioso plan que no damos por concluido porque seguimos trabajando en añadir, entre otras, a nuestro Sistema de Gestión las Normas UNE-EN ISO/IEC 20000 Tecnologías de la información - Gestión del Servicio y UNE-EN ISO 18295 Centros de Contacto con el Cliente.
La adaptación de la organización a la versión de 2018 de la Norma UNE-ISO 31000 ha dotado a Marktel de herramientas que nos aportan una gran ventaja competitiva en el mercado. Así, nos permite anticiparnos, gracias al estudio del riesgo, creando modelos predictivos que nos facilita operar de manera preventiva ante posibles escenarios. Además, ayuda a consolidar la posición de Marktel en un escenario altamente competitivo aportando mayor valor a nuestros clientes.