INTRODUCCIÓN A LA NORMAISO -31000, GESTIÓN DE RIESGOS

Autor: Nelson Berríos Villagra.Constructor Civil.Experto en Prevención de Riesgos.Perito Judicial de la Corte de Apelaciones.Master en Administración de Empresas.E-mail: nberriosv@gmail.com

INTRODUCCIÓN¿Qué sentimos comúnmente en nuestras entrañas cuando escuchamos la palabra Riesgo?Lo más probable es que la mayoría sintamos inquietud, inseguridad e incluso muchas veces temor, ya que creemos que detrás de esto, puede esconderse algún peligro o algún evento negativo que nos perjudique. Algunos pocos, contrariamente, sentirán adrenalina circulando por su sangre.Pero etimológicamente, la palabra “Riesgo” viene del latín “risicare”, que significa “atreverse” a elegir un camino determinado, es decir, está centrado en la acción, y el resultado de ésta puede ser cualquiera, tanto “negativo” como “positivo”.Nos hemos familiarizado con el concepto de riesgo asociado a las pérdidas, pero desde el punto de vista de la actual Gestión de Riesgos en las organizaciones (especialmente ISO-31000), el concepto de riesgo es más amplio y se define simplemente como: “el efecto de la incertidumbre en los objetivos”. Es decir, esta incertidumbre es probable y además sus efectos pueden resultar en pérdidas o ganancias.

Esta norma ISO-31000, pone la Gestión del Riesgo como una labor esencial en el establecimiento de cualquier sistema de gestión de empresa, ya estemos hablando de la Gestión de Calidad, Gestión Medioambiental, Gestión de Salud Ocupacional, Gestión de Responsabilidad Social Empresarial, Gestión Energética, Gestión Informática, etc. Si bien toda organización, de una u otra manera gestiona sus propios riesgos, la mayoría de ellas no lo hace a través de una metodología formal específica. La Norma ISO-31000, entrega una guía general de Gestión de Riesgos para todo tipo de empresas. Esto representa un gran paso estratégico para alinear los Sistemas de Gestión al contexto global de incertidumbre que vivimos cada día en todos los aspectos del quehacer humano.Basta observar lo que está sucediendo a nivel mundial y local, en lo social, económico, laboral, tecnológico, político, medioambiental, legal, cultural, etc., para darse cuenta que el riesgo está presente en cada momento, va en aumento creciente y es parte del día a día de todas las organizaciones sociales y evidentemente de todos los actos humanos.

El nivel de riesgos negativos actual que amenaza nuestras vidas, salud ( física y psicológica) y nuestro entorno medioambiental es tan alto, diverso y complejo que es urgente tomar conciencia de unidad, de responsabilidad global, de los riesgos y sus impactos, de la toma de decisiones conjuntas y oportunas, de la transparencia respecto a los verdaderos riesgos, de la correcta educación holística y de la firme autorregulación de nuestras acciones ( individuales, empresariales y colectivas), si es que éstas ponen en riesgo la integridad, salud y seguridad global.

En el presente artículo, revisaremos básicamente la propuesta que nos hace la Norma ISO 31000, que está dirigida a las organizaciones. Se trata de que éstas logren incluir la Gestión de Riesgos (riesgos negativos y positivos) en sus sistemas de gestión y puedan así trabajar continuamente sobre el cambiante grado de incertidumbre que se presenta en los objetivos planteados por sus directivos. Pero evidentemente, el tema de los RIESGOS, con mayúscula -más allá del punto de vista de las empresas- es un tema amplio y profundo, multidisciplinario y global, holístico en su esencia, urgente en su contingencia, que requiere un desarrollo en varias aristas y niveles, que nos involucra a todos como sociedad, que requiere de la participación organizada y activa, y que por lo tanto escapa a este limitado y puntual artículo.

1. LA CULTURA DE LA GESTIÓN DEL RIESGO.En una estadía en Japón, visitando empresas grandes, medianas y pequeñas, pude observar cómo el Estado Japonés -a través de muchos gobiernos de distintos colores políticos- posee una Cultura de la Gestión de Riesgos.

Tuve la oportunidad de reunirme con algunos Empresarios, Sindicatos y Trabajadores de distintos tipos de empresas (además de todas mis vivencias personales del diario vivir) y me pude percatar en todas estas instancias, que la Gestión de Riesgos es parte integrante de su forma de vivir, no es sólo una herramienta de gestión clave en la administración de empresas, es parte de su Cultura.

Los japoneses, lejos de ser perfectos, tienen obviamente características de idiosincrasia muy distintas a la mentalidad latina. Pese a toda su agitada y dramática historia, tienen en general una cultura rica en algunos valores profundos que han sido cultivados, mantenidos, protegidos y valorados a través de las generaciones, además de una fuerte visión de futuro, capacidad analítica, trabajo en equipo, estudio, austeridad y disciplina.

Obviamente que tienen otras características y condicionamientos mentales y emocionales que les están generando serias dificultades a la sociedad japonesa actual y por lo tanto, nuevos e insospechados riesgos, que los pueden llevar a situaciones extremas y de muy complejo control, pero creo que debemos aprender de lo bueno y desechar lo que para nosotros, no lo es.

Pude apreciar personalmente en las empresas visitadas, la importancia que tiene para ellos la Gestión de Riesgos, antes de proceder a cualquier tipo de proceso o proyecto. Existe previamente una planificación y análisis detallado de los riesgos específicos y globales que conlleva emprenderlo y de cómo proceder a su debido control. Ellos, en general, se detienen, analizan, llegan a acuerdos y actúan, tomando las medidas efectivas de resguardo; posteriormente, hacen seguimiento y mejoran.

Me asombró el nivel de conciencia que tienen los trabajadores y la población en general, del cumplimiento de las normas, de las consideraciones y análisis previos antes de hacer algo y de las medidas de control a adoptar para minimizar los posibles daños. En general, da la impresión de que cuidan el equilibrio en las cosas, actúan de manera informada y disciplinada, ocasionando el menor daño posible a los otros y al entorno.

Más allá de la vida al interior de las empresas, en las calles de Tokio, Kioto y Osaka, entre otras ciudades, pude observar trabajos en la vía pública, tanto de día como de noche. Estos se realizaban con un nivel de tecnología, seguridad, prolijidad, exactitud, orden, limpieza y precisión asombrosos. Se apreciaba a simple vista que habían considerado previamente un gran número de medidas para afrontar los imprevistos posibles que pudieran afectar a los objetivos de la tarea a realizar.

En pleno movimiento vertiginoso de la ciudad, se ejecutaban obras de corte y reemplazo de pavimento de calzadas, cambio de luminarias, instalación de letreros luminosos en la vía pública, trabajo de excavaciones y demoliciones, labores de pintura, limpieza y mantenimiento de calles y edificios, señalización en las vías, etc., etc.. Todas planificadas detalladamente, verificando los posibles imprevistos y sus medidas de control. Además bien hechas, sin accidentes ni daños al entorno, perturbando mínimamente el ritmo de la ciudad, bajo un procedimiento previamente establecido y en el tiempo correspondiente.

La Gestión de Riesgos en Japón -no como Norma Internacional, sino como conceptos y principios del diario vivir- es parte de la cultura global de la población, es enseñada desde que se nace (en el hogar, en las guarderías, los colegios, en los grupos sociales, en las universidades, en las juntas de vecinos, en los trabajos, en las calles….en todas las actividades de la vida diaria). Y no es un tema de ahora, es un tema de siempre. Para ellos, la Gestión de Riesgos no es una metodología teórica que hay que implementar para lograr finalmente un Certificado o un reconocimiento público, no es sólo una herramienta de gestión de empresas, sino que es parte de su manera de ser.

Recuerdo que un día domingo salí a recorrer la ciudad de Tokio y decidí quedarme en una plaza para poder terminar de leer un informe de una empresa, la cual debía visitar al día siguiente a las 9:00 hrs. en punto.

Me senté en un asiento de la plaza y mientras avanzaba en la lectura del informe, de pronto, al sector central de la plaza, llegó un camión de tamaño mediano y de color rojo, con acoplado azul. Me llamó la atención, dejé mis apuntes, me paré y esperé a saber qué iba a suceder.

El camión se detuvo en medio de la plaza, encendió las luces de estacionamiento y bajaron dos personas con traje de trabajo, el chofer permaneció en su puesto, acuñaron las ruedas y abrieron el camión por un costado (como una cortina metálica). La gente que estaba en ese sector de la plaza se acercó al vehículo.

Al interior del camión, una recreación de un living-comedor de una casa japonesa y una familia haciendo su vida normal. Me pareció muy curioso. De repente, dentro del camión, se simula un terremoto con ruido y movimientos y esta familia responde tomando todas las medidas necesarias para enfrentar el siniestro en esta casa- camión. Luego se simula un incendio y nuevamente los padres y los hijos actúan enseñando a la Comunidad cómo se debe abordar un incendio en el hogar. Terminada esta demostración de cómo actuar frente a estas emergencias, las dos personas se bajan, cierran la cortina metálica del costado del camión, sacan las cuñas y se van.

Me quedé sin palabras, internalizando la experiencia. Pensé en mi país y entendí cuál lejano, en general, estamos de esta cultura preventiva, no sólo a nivel tecnológico, sino de educación cívica, conciencia social, gestión de los riesgos y de otras tantas materias esenciales para la paz social, la vida en comunidad y el verdadero desarrollo.

Esta es una de las múltiples experiencias que viví en este hermoso país, donde esta visión se vive en la calle, con los ciudadanos de pie y obviamente en las empresas japonesas. No sólo en las grandes empresas visitadas como Toyota, Canon, Nec, Seiko, Chiba Isumi, etc., sino que también en la mediana y pequeña empresa, pues esta Cultura está en la gente y de ahí se proyecta a todas las actividades.

Si bien la Gestión de Riesgos es una poderosa y útil herramienta de gestión, que será de consideración obligatoria para cualquier empresa que desee certificar un sistema de gestión según Normas ISO, creo que debemos ir más allá de esta herramienta puntual. Pienso que deberíamos desarrollar como país una Cultura de la Gestión del Riesgo, que conduzca nuestras acciones cotidianas, que sea parte esencial de nuestra manera de ser.

Chile es como un laboratorio de las posibles catástrofes naturales (terremotos, tsunamis, erupciones volcánicas, aluviones, derrumbes, inundaciones, etc.) y sin embargo pese a haber sufrido tanto, todavía no hemos podido construir una Cultura de la Gestión del Riesgo. Al parecer, es una tarea difícil para nuestra mentalidad y que sin duda llevará muchas generaciones, pero creo que es el camino urgente, necesario y correcto, si realmente queremos lograr algún día un desarrollo verdadero, sólido, justo y sostenible.

2. LA ESTRUCTURA BÁSICA DE LA NORMA ISO 31000

La Norma ISO 31000 nació al mundo en el 2009, después de la crisis mundial de 2008. Coincidente nacimiento, ya que una de las herramientas faltantes por ese entonces, en muchas organizaciones, era la Gestión del Riesgo.

La Norma ISO 31000 no hace otra cosa que invitarnos a una reflexión más sistémica para gestionar las organizaciones, en base a este escenario de riesgos. La visión actual en general, es fragmentaria, parcial, focalizada, de especialidades y nos hemos olvidado o no querido ver irresponsablemente, que la realidad es sistémica, en la cual todos los aspectos están integrados e íntimamente relacionados. De hecho, las decisiones gerenciales -por ejemplo- finalmente impactan en todos los aspectos de la organización ( dentro y fuera de ella), en distintos tiempos e intensidades, generando a su vez nuevos riesgos.

Muchas veces somos expertos en lo específico y ciegos en lo sistémico. Nos cuesta ver o pasamos por alto el escenario de riesgos en el cual nos movemos y los efectos colaterales que provocan nuestros actos.

Esta Norma se aplica a todo tipo de organizaciones, ya sean públicas o privadas, con fines de lucro o sin ellos, grandes, medianas o pequeñas. Precisa la forma de cómo gestionar el riesgo y así tener información de las posibles amenazas y oportunidades, para que los Directivos de las empresas, teniendo esta información, tomen mejores decisiones. No entrega una metodología detallada de cómo hacerlo, más bien señala qué se debe considerar básicamente para gestionar el riesgo (Principios y directrices genéricas sobre la Gestión del Riesgo).

El escenario actual es tan riesgoso, que si no se hace un estudio previo del contexto en que se mueve la organización y se identifican, analizan, evalúan y controlan los riesgos existentes, difícilmente se logrará cumplir los objetivos.

La Norma ISO 31000 se estructura en base a tres etapas consecutivas:

1. Comprender los Principios de la Gestión de Riesgos.

2. Elaborar un Marco de Trabajo y

3. Precisar los Procesos Claves para lograrlo.

PRINCIPIOS

MARCO DE TRABAJO

PROCESOS CLAVES

Estas tres etapas de la Gestión de Riesgos están íntimamente relacionadas y tienen un orden lógico de actuación.

La relación esquemática entre estas tres Etapas de la Gestión del Riesgo es la siguiente: Primero los Directivos y la organización deben entender cabalmente los Principios de la Gestión de Riesgos (Cláusula N°3) y estar convencidos de ellos (son 11 en total), para luego pasar a la segunda etapa, en la cual se crea el Marco de Trabajo (Cláusula N°4), a través del Compromiso de la Dirección. Posteriormente, se pone en marcha este Marco de Trabajo utilizando los cinco Procesos Claves para la Gestión de Riesgos (Cláusula N°5).

Vamos a precisar estas tres etapas por separado, sabiendo que están íntimamente relacionadas.

Primera Etapa: Principios de la Gestión de Riesgos (cláusula N°3).

La Norma pretende dejar muy en claro que si no hay entendimiento y valoración de estos Principios, en toda la organización, desde Directivos a trabajadores, es mejor no emprender la Gestión de Riesgos, pues estará destinada a morir por inanición.

Los 11 Principios son:

I. Crea valor

II. Está integrada en los procesos de la organización

III. Forma parte de la toma de decisiones

IV. Trata explícitamente la incertidumbre

V. Es sistemática, estructurada y adecuada

VI. Está basada en la mayor información disponible

VII. Está hecha a medida

VIII. Tiene en cuenta factores humanos y culturales

IX. Es transparente e inclusiva

X. Es dinámica, iterativa y sensible al cambio

XI. Facilita la mejora continua de la organización

Esta lista de Principios es clave para fundamentar el paso siguiente y los Directivos deben detenerse en ello, no se debe tomar a la ligera y decir “-bueno, ya los leí, ahora vamos a la acción-”. Estos Principios son el alimento del Compromiso de la Dirección y si ésta no lo considera así y no se alimenta de ellos, no podrá verdaderamente fortalecer su Compromiso con la Gestión de Riesgos (subcláusula 4.2). Todos sabemos en qué terminan las iniciativas que no son lideradas por la Dirección.

El primer y más clave principio es: “Crea valor” para la compañía, ya que ayuda directamente a la toma de decisiones desde el ámbito estratégico hasta los niveles más operativos. Cuando se implementa la Gestión de Riesgos en una empresa, se comienza usualmente detectando los posibles factores y causas que puedan impactar a la misión de la empresa, pero luego se dirige la mirada hacia la operatividad del día a día de la organización, de manera de precisar los riesgos que puedan generar incertidumbre en el cumplimiento de los objetivos.

De ahí el poder que tiene esta herramienta de gestión en la creación de valor.

Segunda Etapa: Marco de Trabajo o Framework (cláusula N°4).

Esta Etapa comienza con el Compromiso de la Dirección (4.2), el cual crea un Ciclo de Mejoramiento Continuo para dar movimiento al Marco de Trabajo, que es simplemente un marco de referencia general para la gestión del riesgo al interior de la organización. Este Compromiso de la Dirección genera el Diseño del Marco de Trabajo (subcláusula 4.3), acto seguido viene su Implementación (subcláusula 4.4), posteriormente se requiere efectuar el Seguimiento y Revisión (subcláusula 4.5) y finalmente se termina este primer ciclo con el Mejoramiento Continuo ( subcláusula 4.6). Como se puede observar, estamos frente al primer Ciclo de Mejoramiento ( Planificar-implementar-Verificar-Actual), que es iterativo ascendente, de manera de que en cada repetición del ciclo se aprenda de lo vivido y se mejore su gestión.

La Norma ISO 31000 en esta etapa, señala los pasos necesarios para armar la estructura que tendrá la Gestión de Riesgos en la organización. La Dirección lidera la construcción de esta estructura de manera de convertirla en una herramienta útil e indispensable para la toma de decisiones. Además, se debe asegurar que efectivamente llegue a todos los niveles de la organización.

El Marco de Trabajo es como la estructura ósea y muscular del cuerpo humano, pues tiene la misión de darle sustento, movilidad y alcance a la etapa siguiente. Es necesario mantenerla saludable a través de la alimentación ( Principios) y del ejercicio ( Práctica del Mejoramiento Continuo), sólo así podrá ser un correcto soporte para la Cláusula N°5 ( Procesos de la Gestión de Riesgos).

En la Cláusula Marco de Trabajo se deben realizar una serie de actividades claves, tales como:

Redactar una Política de Gestión de Riesgos, los objetivos y sus respectivos Indicadores. Para contribuir al logro de los objetivos planteados, se deben definir además las responsabilidades de las personas involucradas y los recursos necesarios para cumplir las actividades requeridas.

En esta segunda etapa deberá definirse la estrategia de implementación y asegurarse que la toma de decisiones esté realmente basada en la Gestión de Riesgos.

Finalmente, se debe realizar el respectivo Seguimiento, revisando la aplicación y resultados de la estrategia de implementación, los indicadores y el grado de cumplimiento de los objetivos de la Gestión de Riesgos.

Una cosa importante en esta etapa de Verificación es asegurarse que se está cumpliendo la Política de Gestión de Riesgos, ya que es el marco general en el cual se moverá la compañía en este aspecto.

Tercera Etapa:

Procesos Claves de la Gestión de Riesgos (cláusula N°5)

Acá se detallan 5 Procesos Claves para echar a andar la Gestión de Riesgos al interior de la organización. Son 5 Procesos que podrían analogarse a los cinco órganos necesarios para que circule la vida en la estructura ya formada anteriormente. A saber:

Comunicación y Consulta ( sub cláusula 5.2)

Establecer el Contexto ( sub cláusula 5.3)

Evaluación de Riesgos ( sub cláusula 5.4)

Tratar los Riesgos (sub cláusula 5.5)

Monitorización y Revisión (sub cláusula 5.6)

Comunicación y Consulta

Establecer el Contexto

Evaluación de Riesgos

Tratar los Riesgos

Monitorización y Revisión

Además agrega la función de gestionar los Registros de los Procesos de la Gestión de Riesgos (sub cláusula 5.7)

Acá la Norma 31000 despliega toda su sustancia, al centrarse en estos 5 Procesos Claves, que finalmente materializarán la Gestión de Riesgos al interior de la organización.

Estos 5 Procesos también tienen un orden lógico y funcional.

El primer proceso clave es la “Comunicación y Consulta”, que alimenta a los tres procesos que finalmente representan el corazón de la Gestión de Riesgos ( Establecer el Contexto, Evaluación de Riesgos y Tratar los Riesgos). Este proceso de Comunicación y Consulta permite que la organización esté en continuo contacto con las partes interesadas, ya que son principalmente ellas las que proporcionarán la información necesaria para que la organización gestione sus riesgos vigentes, pues indefectiblemente los riesgos van modificándose a través del tiempo. Esta información debe ser oportuna y correctamente transmitida a la compañía, la cual deberá utilizarla para adecuar y actualizar la información sobre los riesgos.

Con la información obtenida de las Partes Interesadas (stokeholders), se establece el Contexto de la organización y se mejora continuamente la gestión del cambio. Una vez hecho el análisis general del terreno que está pisando la organización o el proyecto en particular (interno y externo, positivos y negativos), se va al tercer proceso que es la Evaluación de Riesgos.

Esta Evaluación de Riesgos está compuesta por tres sub etapas: Identificación de los Riesgos, Análisis de los Riesgos y finalmente Evaluación del Riesgo. Se trata de identificar los Riesgos Negativos (amenazas) y los Riesgos Positivos (oportunidades). Este proceso es crucial, ya que no es nada fácil identificar los riesgos para la organización o el proyecto y luego priorizarlos (recordar que los recursos siempre son limitados). Algunas veces se confunde “hechos”, por “Riesgos”. Los prejuicios motivacionales hacen perder la objetividad para identificar los riesgos o no se centra la discusión en los riesgos específicos que afectan el cumplimiento de los objetivos. Es clave identificar correctamente los riesgos, ya que de lo contrario, todos los pasos siguientes perderán valor. En esta etapa de Evaluación de Riesgos se puede recurrir a la Norma ISO-31010, de manera de determinar las herramientas que se puede utilizar en la identificación y análisis de los riesgos.

Teniendo los riesgos evaluados, el paso lógico es Tratarlos, para luego Monitorearlos y finalmente Revisarlos. El Tratamiento de los riesgos debe ser un proceso cíclico.

Si los riesgos resultan de la evaluación como riesgos no tolerables, hay que volver a tratarlos.

Recordar que al tratar los riesgos pueden aparecer nuevos riesgos.

El proceso de Monitorización y Revisión (subcláusula 5.6), implica que la organización se asegure que los controles son eficaces y eficientes, tanto en el diseño como en el funcionamiento.

Recordar que se requiere mayor y mejor información para mejorar la evaluación de los riesgos. Esta sub cláusula promueve el aprendizaje de lo vivido y permite detectar los cambios en el contexto interno como externo, además de los posibles riesgos emergentes.

Es importantísimo no olvidar que estamos ante una Norma de Gestión que requiere registrar todo lo realizado y sus cambios. De ahí nace la sub cláusula 5.7 (Registro de los Procesos de la Gestión de Riesgos). Se debe tener presente en este punto que para el Registro, existen necesidades legales, reglamentarias y operativas.

Existe un proceso cíclico entre el proceso de Comunicación y Consulta (sub cláusula 5.2) y el proceso Monitorización y Revisión (sub cláusula 5.6).

CONCLUSIONES1. La herramienta de Gestión de Riesgos puede ayudar a la Dirección de las organizaciones a

tomar mejores decisiones gerenciales, debido a que alumbra el terreno en el que se está pisando. Si no está liderada por la Dirección, es mejor no implementarla.

2. La Gestión de Riesgos debe integrarse a todos los Sistemas de Gestión de la organización y colaborar con otras herramientas de gestión de manera de llegar a todos los niveles de la compañía. Finalmente crear una cultura de Gestión de Riesgos.

3. Los riesgos actualmente cambian con gran rapidez y por lo tanto el sistema de Gestión de Riesgos, en lo posible, debe diseñarse de manera que esté recogiendo información de manera inmediata, directa, activa y fidedigna del entorno interno y externo. Se debe estar atento a procesar rápidamente la información y sus posibles cambios. La comunicación y participación permanentes de la partes interesadas, es cada vez más esencial en esta visión sistémica de las organizaciones.

Bibliografía:Norma ISO-31000 - 2009 Gestión de Riesgo, Principios y GuíasNorma ISO 31010 -2009 Gestión de Riesgos, Técnicas de Apreciación del Riesgo.Norma ISO 9001 -2015 Sistemas de Gestión de Calidad, Requisitos