Por: CP Iván Rodríguez. Colaborador de Auditool.
El tema de gestión de riesgos se ha tratado ampliamente en diferentes escenarios. Profesionales de diversas disciplinas hoy día pueden recurrir a pronunciamientos de los organismos profesionales e incluso a normativa local, según la jurisdicción donde operen. Dentro de las normas profesionales, se destacan aquellas emitidas por el Organismo Internacional de Estandarización (International Organization for Standardization - ISO). Las empresas pueden certificarse en algunas de las normas de ISO, lo que demuestra que se cumple con ciertos requisitos de calidad que son reconocidos internacionalmente. Para el tema de riesgos, las principales familias de riesgos son las siguientes:
ISO 31000 - Para la gestión de riesgos
Es la norma más importante sobre gestión de riesgos. Establece los principios y directrices que debe cumplir un sistema de gestión de riesgos, siendo su última versión, del año 2018.
ISO 9001 - Sistemas de gestión de calidad
Esta norma establece cómo debe ser un sistema de gestión de la calidad en una empresa. Su última versión, ISO 9001:2015, incluye el pensamiento basado en riesgos.
ISO 27001 - Seguridad de la Información
Este estándar internacional contribuye a proteger la información vulnerable que manejan las empresas, tal como pueden ser los datos de los clientes.
ISO 19600 - Cumplimiento legal de las organizaciones
Este estándar establece los requisitos para poner en marcha un sistema de gestión de cumplimiento corporativo o compliance. Esto permite a las empresas u organizaciones evitar sanciones por incumplimientos.
ISO 37000 - Para la prevención de los sobornos
Esta norma, cuya última versión es de 2016, le permite a una organización demostrar su compromiso con prácticas antisoborno, lo que es útil frente a sus clientes potenciales. Es fundamental en el sector financiero.
Además de las normas antes citadas, también vale la pena mencionar estas otras disposiciones profesionales relativas al riesgo, como son el estándar ISO 22320, de amplia aplicación en organizaciones ubicadas en países expuestos a desastres naturales y emergencias, toda vez que las prepara para responder eficazmente ante un incidente. La norma ISO 45000 sobre seguridad y salud en el trabajo incluye consejos y recomendaciones para establecer un sistema que permita a una organización evitar lesiones y accidentes de sus trabajadores. La norma ISO 55000 de gestión de activos plantea un sistema que es especialmente útil en el ámbito financiero y considera diferentes tipos de activos, (incluyendo aquellos intangibles).
Una norma que merece especial mención es la ISO 19011:20186 sobre auditorías de sistemas de gestión, puesto que brinda elementos necesarios para realizar una auditoría a los sistemas de gestión. Esto es, para evaluar si una organización cumple o no con una determinada norma ISO.
La norma ISO 31000
Inicialmente, en la última década del siglo pasado (1990 – 2000) el concepto de gestión de riesgos empezó a ganar importancia en diversos sectores tales como la ingeniería, los seguros y las finanzas. En este período se desarrollaron estándares locales para la gestión de riesgos, entre los que se cuenta el de Australia y Nueva Zelanda llamado AS/NZS 4360.
Posteriormente la ISO empezó a trabajar en normas sobre gestión de riesgos. En el año 2009 se publicó la norma ISO 31000:2009 que se basó en la norma AS/NZS 4360. Este documento estableció un marco general para la gestión de riesgos, que puede ser aplicable a todo tipo de organizaciones y contextos. En su contenido se destaca la posibilidad de personalización al contexto organizacional, la inclusión de la incertidumbre y la toma de decisiones en la gestión, y un enfoque integral de la gestión de riesgos en todos los niveles de la organización. En el año 2018 la norma fue revisada y publicada como ISO 31000:2018. Dentro de los cambios efectuados se destacan:
- Un lenguaje más claro y simplificado.
- Mayor énfasis en la integración del marco de gestión de riesgos en la cultura organizacional y los procesos estratégicos.
- Un enfoque renovado en la toma de decisiones basada en riesgos.
En su estructura, la norma describe un marco de referencia para integrar la gestión de riesgos en los procesos de toma de decisiones, incluyendo el compromiso de la alta dirección y la mejora continua. También plantea que la gestión del riesgo debe abarcar desde la identificación hasta el tratamiento y monitoreo de los riesgos, considerando tanto factores internos como externos.
La norma establece 11 principios fundamentales para una gestión eficaz del riesgo, así:
- Creación de valor: la gestión de riesgos debe contribuir al logro de los objetivos estratégicos, la protección de activos y la mejora de la eficiencia operativa.
- Integración: la gestión de riesgos debe formar parte de todos los procesos organizacionales, incluyendo la planificación y la toma de decisiones.
- Personalización: la gestión de riesgos debe adaptarse al contexto específico de la organización, en consideración a sus características, cultura y entorno.
- Inclusión: la participación de las partes interesadas es importante, ya que aporta diversos puntos de vista y mejora la comprensión y el manejo del riesgo.
- Dinamismo: toda vez que los riesgos evolucionan con cambios en el contexto interno y externo, el proceso debe ser iterativo, anticipándose y ajustándose a estos cambios.
- Uso de la mejor información disponible: el proceso debe basarse en datos y análisis precisos y confiables, reconociendo las limitaciones de la información.
- Factores humanos y culturales: se deben tener en cuenta los factores humanos, culturales y de comportamiento, puesto que influyen en la percepción y respuesta ante los riesgos.
- Mejora continua: la gestión de riesgos debe ser un proceso de aprendizaje constante, para que la organización responda mejor a los riesgos.
La norma ISO 31000 ha sido adoptada en diversos países y es utilizada en múltiples sectores como una guía esencial para mitigar riesgos, aprovechar oportunidades y garantizar la sostenibilidad organizacional. Si bien no es certificable, su implementación se considera como una buena práctica reconocida a nivel global. Por ello, es importante su conocimiento y estudio por parte de los auditores ya que contribuye a preparar a las organizaciones frente a diversos desafíos y riesgos, que pueden abarcar desde problemas financieros hasta desastres naturales o ciberataques.
Adicionalmente, hay muchas medidas más que podrían adoptarse, tales como desarrollar procesos operativos, fomentar la colaboración, aprovechar la tecnología y efectuar revisiones periódicas del funcionamiento operativo en general. En la medida en que haya más globalización, el trabajo remoto va a adquirir más relevancia, por ello, los auditores además de actualizarse de manera permanente, deben ser flexibles frente a los nuevos desafíos en la ejecución del trabajo.
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.