- In:
- Posted By: webadmin
Desde hace algún tiempo he recibido consultas sobre ISO 31000:2018, por lo que considero necesario clarificar la diferencia entre un sistema de gestión ISO (como ISO 9001, ISO 37001, ISO 45001, etc) y una norma de lineamientos o guía como la ISO 31000:2018.
Entiendo que al ser ampliamente difundida la relevancia de las certificaciones internacionales de cumplimiento de requisitos de normas ISO en sistemas de gestión (como ISO 9001), se pueda generalizar la idea de que "todas las normas ISO son de requisitos", que "todas las normas ISO son certificables" y que "todas las normas ISO son sistemas de gestión", afirmaciones que son inexactas y falsas.
Para empezar a entender la diferencia, primero necesitamos entender que ISO 31000:2018 es una norma que puede adaptarse a las circunstancias particulares de cada organización, centrada en la generación y protección del valor, centrada en principios para la gestión del riesgo y en ese sentido y para los fines de este artículo abordaremos solo uno de los principios, el principio que indica "La gestión del riesgo es Estructurada y exhaustiva".
Para ser mas precisos la norma en su clausula 4 señala:
"b) Estructurada y exhaustiva
Un enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a resultados coherentes y comparables."
Para entender esto, necesitamos pensar en como la gestión del riesgo debería desplegarse en la organización para que pueda identificar cambios en el contexto, riesgos con cambios o nuevos (emergentes), precisamente para poder responder, necesita ser sistemáticamente "estructurado" para poder articular la mayor cantidad de información pertinente de forma "exhaustiva" o completa y oportuna.
Entonces podemos señalar que la gestión del riesgo necesita esta característica de sistematización para poder tener trazabilidad y cobertura adecuada en la organización que gestiona el riesgo ( según las recomendaciones o guía de ISO 31000:2018). Este sería el enfoque adecuado.
Del otro lado tenemos el concepto de "Sistema de gestión", un concepto acuñado para normas ISO certificables y que tiene una definición general en el texto común aplicable a todas las normas de requisitos de sistemas de gestión ISO, que podemos citar:
"3.4 management system
set of interrelated or interacting elements of an organization (3.1) to establish policies (3.7) and objectives (3.8) and processes (3.12) to achieve those objectives
Note 1 to entry: A management system can address a single discipline or several disciplines.
Note 2 to entry: The system elements include the organization’s structure, roles and responsibilities, planning and operation.
Note 3 to entry: The scope of a management system can include the whole of the organization, specific and identified functions of the organization, specific and identified sections of the organization, or one or more functions across a group of organizations."
Texto tomado del Apéndice 2 del Anexo SL de "ISO/IEC Directives Part 1 and Consolidated ISO Supplement".
Con esto podemos entender una diferencia sustancial, al no estar regido por principios sino por los niveles de gestión y en un alcance definido, el aporte de valor esta circunscrito a su propio alcance y se centra principalmente en obtener resultados previamente definidos y en un modelo establecido por sus propios requisitos (incluidos en cada norma de requisitos).
Con un fuerte soporte documental para garantizar que se mantenga en vigencia (muchas veces confundido con una necesidad abrumadora de documentación), el sistema de gestión aporta un valor a la organización pero en un modelo muy diferente al de ISO 31000 pero en el que ISO 31000 puede aportar sustancialmente ( principalmente en cuanto al cumplimiento de los requisitos en la clausula 6.1 ), precisamente esa flexibilidad marca una diferencia con el sistema de gestión.
Lo mas cercano de ISO 31000 a un sistema de gestión, podríamos decir que es el framework para la gestión del riesgo que incluye, pero que operacionalmente, es operado en uno o mas procesos de gestión del riesgo y dentro de uno de estos procesos de gestión del riesgo puede estar lo relacionado con un sistema de gestión (por ejemplo el establecimiento y operación del proceso de gestión de riesgos del sistema de gestión de calidad según los requisitos de ISO 9001:2015)
Por todo lo antes mencionados, espero que quede clara la diferencia entre una norma de lineamientos o guía y una norma de requisitos y por ello como solo las normas de requisitos pueden certificarse (porque tienen requisitos específicos).
ISO 31000:2018 no es una norma de requisitos, no es certificable, no es un sistema de gestión porque no fue diseñada ni redactada con ese objetivo, ISO 31000:2018 es una norma que busca clarificar que todos hacemos gestión del riesgo incluso sin saber que lo estamos haciendo (puede ser bien o mal pero lo hacemos) y esto tiene resultados (buenos o malos), en ese sentido la norma nos proporciona una orientación o guía para entender como podemos desplegar la gestión del riesgo en el nivel que necesitemos (organizacional, de área, de proyecto, de tareas, etc).
Espero que esta artículo pueda aportar a conocer un poco mas sobre esta norma y para los interesados, les recuerdo que tenemos un grupo en Linkedin sobre ISO 31000 en : https://www.linkedin.com/groups/12036572/
Pueden contactarnos en info@gtdi.pe
Fuente : La norma ISO sobre gestión de proyectos en proceso de actualización
