Objetivo y Estructura General de las Normas.
La Organización Internacional para la Estandarización, ISO por sus siglas en inglés (International Organization for Standardization), es una federación mundial que agrupa a representantes de cada uno de los organismos nacionales de estandarización (como lo es el IRAM en la Argentina), y que tiene como objeto desarrollar estándares internacionales que faciliten el comercio internacional. Cuando las organizaciones tienen una forma objetiva de evaluar la calidad de los procesos de un proveedor, el riesgo de hacer negocios con dicho proveedor se reduce en gran medida, y si los estándares de calidad son los mismos para todo el mundo, el comercio entre empresas de diferentes países puede potenciarse en forma significativa – y de hecho, así ha ocurrido –.
Las series de normas ISO relacionadas con la calidad constituyen lo que se denomina familia de normas, las que abarcan distintos aspectos relacionados con la calidad:
ISO 90001: Sistemas de Gestión de Calidad Fundamentos, vocabulario, requisitos, elementos del sistema de calidad, calidad en diseño, fabricación, inspección, instalación, venta, servicio post venta, directrices para la mejora del desempeño.
ISO 10000: Guías para implementar Sistemas de Gestión de Calidad/ Reportes Técnicos Guía para planes de calidad, para la gestión de proyectos, para la documentación de los SGC, para la gestión de efectos económicos de la calidad, para aplicación de técnicas estadísticas en las Normas ISO 9000. Requisitos de aseguramiento de la calidad para equipamiento de medición, aseguramiento de la medición.
ISO 14000: Sistemas de Gestión Ambiental de las Organizaciones. Principios ambientales, etiquetado ambiental, ciclo de vida del producto, programas de revisión ambiental, auditorías.
ISO 19011: Directrices para la Auditoría de los SGC y/o Ambiental
Análisis de las Normas IRAM 17.550 y 17.551 (borrador) e ISO 31.000 y 31.010 (en proceso) y el Estándar Australiano sobre Gestión de Riesgos AS/NZS 4360.
A nivel internacional, numerosos organismos tienen en estudio o han emitido estándares relacionados con la gestión de riesgos, tanto generales como específicos de determinado sector o industria. Entre ellos podemos considerar: Basilea II (entidades financieras), Solvencia II (compañías de seguros, en estudio), COSO ERM (Enterprise Risk Management – Integrated Framework), AS/NZS 4360 (estándar australiano de gestión de riesgos, general), cuya primera edición es del año 1995, ISO 31000 y Guía 73 (Vocabulario) (proyecto de estándar internacional, y guía sobre vocabulario de gestión de riesgos).
ISO 31000. Sistemas de Gestión de Riesgos.
La ISO 31000 es una norma internacional que ofrece las directrices y principios para gestionar el riesgo de las organizaciones.
Esta norma fue publicada en noviembre del 2009 por la Organización Internacional de Normalización (ISO) en colaboración con IEC, y tiene por objetivo que organizaciones de todos los tipos y tamaños puedan gestionar los riesgos en la empresa de forma efectiva, por lo que recomienda que las organizaciones desarrollen, implanten y mejoren continuamente un marco de trabajo cuyo objetivo es integrar el proceso de gestión de riesgos en cada una de sus actividades.
Como complemento a esta norma se ha desarrollado otro estándar: la ISO 31010 “Gestión del riesgo. Técnicas de evaluación de riesgos”. Esta norma provee de una serie de técnicas para la identificación y evaluación de riesgos, tanto positivos como negativos.
Estructura de la norma ISO 31000
La variedad y complejidad de los riesgos es muy diversa por lo que éste estándar internacional desarrollado por la ISO (nternational Organization for Standardization) no está pensado para un sistema particular de gestión, más bien es una guía de buenas prácticas para las actividades relacionadas con la gestión de riesgos.
El diseño y la implantación de la gestión de riesgos dependerán de las diversas necesidades de cada organización, de sus objetivos concretos, contexto, estructura, operaciones, procesos actividades, servicios, etc.
El estándar ISO 31000:2009 está estructurado en tres elementos claves para una efectiva gestión de riesgos:
los principios para la gestión de riesgos: para una mayor eficacia, la gestión del riesgo en una organización
la estructura de soporte o marco de Trabajo. El objetivo de este elemento es integrar el proceso de gestión de riesgos con la dirección, para que esta adquiera un fuerte compromiso con la implantación de la Gestión del Riesgo.
En este caso la norma establece una serie de órdenes que debe cumplir la gerencia para asegurar la efectividad de la gestión de riesgos
el proceso de gestión de riesgos: este proceso consta de tres etapas: establecimiento del contexto, valoración de riesgos y tratamiento de los mismos.
Según la norma ISO31000, los principios para la gestión de riesgos son los siguientes:
Crear y proteger el valor. Contribuye a la consecución de objetivos así como la mejora de ciertos aspectos tales como la seguridad y salud laboral, cumplimiento de los requisitos legales, protección ambiental, etc.
Estar integrada en los procesos de una organización. No debe ser entendida como una actividad aislada sino como parte de las actividades y procesos principales de una organización.
Formar parte de la toma de decisiones. La gestión del riesgo ayuda a la toma de decisiones evaluando la información sobre las distintas alternativas.
Tratar explícitamente la incertidumbre. La gestión del riesgo trata aquellos aspectos de la toma de decisiones que son inciertos, la naturaleza de esa incertidumbre y como puede tratarse.
Ser sistemática, estructurada y adecuada. Contribuye a la eficiencia y, consecuentemente, a la obtención de resultados fiables.
Basarse en la mejor información disponible. Los inputs del proceso de gestión del riesgo están basados en fuentes de información como la propia experiencia, la observación y la opinión de expertos.
Estar hecha a medida. La gestión del riesgo está alineada con el contexto externo e interno de la organización y con su perfil de riesgo.
Tener en cuenta factores humanos y culturales. Reconoce la capacidad y percepción de los empleados y personas interesadas, esto puede facilitar o dificultar la consecución de los objetivos de la organización.
Ser transparente e inclusiva. La apropiada y oportuna participación de los grupos de interés (stakeholders) y, en particular, de los responsables a todos los niveles, asegura que la gestión del riesgo permanece relevante y actualizada.
Ser dinámica, iterativa y sensible al cambio. La organización debe velar para que la gestión del riesgo detecte y responda a los cambios de la empresa y de su entorno.
Facilitar la mejora continua de la organización. Las organizaciones deberían desarrollar e implementar estrategias para mejorar continuamente, tanto en la gestión del riesgo como en cualquier otro aspecto de la organización.
AS/NZS 4360:1995.
Se menciona por primera vez el ciclo de gestión de riesgos, del cual se observa que el proceso de administración de riesgos planteado tiene cinco etapas: Establecer del contexto, Identificación de riesgo, Análisis de riesgo, Evaluación de riesgo y Tratamiento de riesgo.
1.Establecer del contexto: El marco define con gran detalle tres tipos de contextos que deben tomarse en cuenta para la administración de riesgos (organizacional, estratégico y para la administración de riesgo).
En esta etapa se identifican 3 aspectos:
a. El contexto estratégico: definiendo la relación entre la organización y el ambiente, ya sea interno o externo. El estándar además agrega en el Anexo C un listado con una guía de cuáles pueden ser los potenciales interesados que influyen en el contexto estratégico.
b. El contexto organizacional: entendiendo a la empresa y sus capacidades, así como sus metas y objetivos y estrategias para alcanzarlos.
c. El contexto para la administración de riesgos: estableciendo el alcance y las fronteras para la aplicación del proceso de administración de riesgos. Por ejemplo: definiendo el proyecto o la actividad, incluyendo la extensión de tiempo y espacio, estableciendo las metas y objetivos.
2.Identificación de riesgo: La segunda etapa significa identificar los riesgos para ser administrados. Esto incluye un proceso sistemático bien estructurado que debe contener: qué puede ocurrir, cómo puede ocurrir, herramientas y técnicas para la identificación.
3.Análisis de riesgo: El objetivo es diferenciar los riesgos y proveer datos para asistir en la evolución y tratamiento de los riesgos.Los pasos en el análisis de riesgo son:
Determinar controles existentes.
Determinar consecuencias y probabilidad de ocurrencia.
4.Evaluación de riesgo: En esta etapa se establece el nivel de riesgo. El producto de la evaluación de riesgo es tener la priorización de los riesgos identificados. Si los riesgos
caen en categorías de “bajo riesgo” o de “riesgo aceptable”, pueden ser aceptados con el mínimo de tratamiento y ser monitoreados regularmente para asegurarse que se mantienen en este nivel.
5.Tratamiento de riesgo: Esta última etapa del proceso se deben identificar acciones para reducir el nivel de exposición a riesgos, evaluarlas, preparar el plan de tratamiento de los riesgos e implementarlo. Identificar las opciones de tratamiento de riesgos. Pueden ser:
Evitar el riesgo al no proceder con la actividad
Reducir la probabilidad de ocurrencia
Reducir las consecuencias
Transferir el riesgo
Retener el riesgo
IRAM 17550.
En la Argentina, el Instituto Argentino de Normalización y Certificación (IRAM) es el representante de Argentina en varios organismos de normalización, entre ellos ISO, la Comisión Panamericana de Normas Técnicas (COPANT) y la Asociación MERCOSUR de Normalización (AMN). Rige el sistema de gestión de riesgos de acuerdo a la IRAM 17550 y el proyecto de IRAM 17551. El objetivo de la norma es ayudar a la implementación eficaz y posterior supervivencia de un sistema de este tipo, considerando que, como toda implantación de un sistema de gestión, implica: un cambio cultural dentro de la organización, que la Dirección debe apoyar el proceso, y participar en el diseño del sistema y de las políticas, el desarrollo de una política de gestión de riesgos, alineada a las políticas de negocios y estratégicas de la organización, la comunicación de las políticas y los objetivos a toda la organización, para incorporarlas en la cultura general, identificación de los recursos a ser utilizados. El enfoque con el que se ha diseñado el sistema es un enfoque orientado a procesos, para que la gestión de riesgos sea llevada a cabo a nivel de áreas, proyectos y equipos. En la política de gestión de riesgos se deberían establecer responsables de los procesos, y la forma de medición de los resultados.
Análisis de las Recomendaciones COSO.
El “Committee of Sponsoring Organizations” (COSO) es una organización voluntaria del sector privado cuya misión es mejorar la calidad de la información financiera mediante la ética en los negocios, los controles internos efectivos y el gobierno corporativo. Fue fundado en 1985 para patrocinar a la “National Commission on Fraudulent Financial Reporting” (conocida como la “Treadway Commission") y se encuentra conformado por las cinco mayores asociaciones profesionales de los Estados Unidos: la “American Accounting Association” (AAA), el “American Institute of Certified Public Accountants” (AICPA), el “Financial Executives Internacional” (FEI), el “Institute of Internal Auditors” (IIA), y la “National Association of Accountants”, hoy convertida en el “Institute of Management Accountants” (IMA). El Comité es totalmente independiente de las cinco organizaciones que lo patrocinan e incluye representantes de la industria, contadores públicos, firmas de inversión y la Bolsa de Nueva York (NYSE).
En 1992, el Comité emitió el framework sobre control interno, que se convirtió en un estándar ineludible a la hora de hablar sobre la forma de encarar el control interno en cualquier organización. Tiempo después, el Comité emitió otro documento, denominado “Enterprise Risk Management (ERM) - Integrated Framework”, y que en la actualidad se conoce como COSO II o COSO ERM. Si bien hasta ese momento muchas organizaciones y entidades habían desarrollado enfoques para encarar la gestión de riesgos, y existía una gran cantidad de literatura al respecto, no había una terminología común para el tema ni se habían elaborado principios ampliamente aceptados que pudieran ser utilizados por las empresas como una guía en el desarrollo de una estrategia efectiva para la administración de riesgos. En mayo de 2013 el Comité COSO publicó la actualización del Marco Integrado de Control Interno (COSO III), cuyos objetivos son: aclarar los requerimientos del control interno; actualizar el contexto de la aplicación del control interno a muchos cambios en las empresas y ambientes operativos; y ampliar su aplicación al expandir los objetivos operativos y de emisión de informes. Este nuevo Marco Integrado permite una mayor cobertura de los riesgos a los que se enfrentan actualmente las organizaciones.