La ISO 31000:2018 es una norma internacional que proporciona directrices sobre la gestión de riesgos. Aunque a menudo se la menciona informalmente como ISO 31001, el nombre correcto de la norma es ISO 31000. Esta norma ofrece principios, un marco y un proceso para gestionar los riesgos que cualquier organización puede enfrentar. Es aplicable a todos los tipos de organizaciones, independientemente de su tamaño, actividad o sector, y se puede usar en cualquier tipo de riesgo, ya sea financiero, de seguridad, ambiental o de reputación.
Los principales componentes de la ISO 31000:2018 incluyen:
1. Principios: La norma establece una serie de principios que deben ser seguidos para una gestión de riesgos efectiva, como la integración en los procesos organizacionales, la personalización según la organización y la consideración del contexto externo e interno.
2. Marco: Detalla cómo integrar y alinear la gestión de riesgos con otros objetivos organizacionales y prácticas como la gobernanza, la planificación estratégica y la gestión de recursos. El marco propone estructuras y procesos que apoyan una cultura de mejora y aprendizaje continuo en la organización.
3. Proceso: Describe el proceso sistemático para identificar, analizar, evaluar, tratar, monitorear y revisar los riesgos. Este proceso ayuda a las organizaciones a tomar decisiones informadas y preparadas. Incluye:
- Identificación del riesgo: Reconocer los riesgos que pueden afectar a los objetivos.
- Análisis del riesgo: Comprender la naturaleza de los riesgos y determinar su nivel.
- Evaluación del riesgo: Comparar los niveles de riesgo con los criterios de riesgo establecidos para determinar la prioridad.
- Tratamiento del riesgo: Seleccionar y aplicar opciones para mitigar el riesgo.
- Monitoreo y revisión: Controlar y revisar el contexto y las circunstancias para asegurar que todo sigue siendo relevante y efectivo.
- Comunicación y consulta: Involucrar a las partes interesadas adecuadas en el proceso de gestión de riesgos.
La ISO 31000:2018 no establece un modelo de gestión de riesgos para ser certificado, sino que proporciona una guía que las organizaciones pueden adaptar a sus necesidades específicas. Su objetivo es ayudar a las organizaciones a desarrollar una gestión de riesgos proactiva y preventiva que pueda mejorar la toma de decisiones, aumentar la eficacia operativa y optimizar la gobernanza.