Diferencias conceptuales clave entre las normas
La Gestión de los Riesgos Emergentes con ISO 31050:2023
CPA, MBA, MGE, MGR
Socio – Director
Email: rgarcia@sfai.co
La pandemia del COVID-19 ha dejado una profunda huella en el mundo empresarial, evidenciando la importancia crucial de una gestión de riesgos robusta y adaptable.
Este evento sin precedentes puso a prueba la capacidad de las organizaciones para afrontar situaciones inesperadas y de alto impacto, revelando vulnerabilidades y la necesidad de fortalecer la resiliencia.
Muchas empresas se vieron afectadas por disrupciones en las cadenas de suministro, restricciones de movilidad, cambios en los patrones de consumo y la incertidumbre económica generalizada.
Las consecuencias fueron significativas, con pérdidas financieras, interrupciones operativas y dificultades para adaptarse a la nueva realidad.
La experiencia del COVID-19 ha resaltado la necesidad de un enfoque proactivo en la gestión de riesgos, capaz de anticipar y responder a eventos emergentes con rapidez y eficacia.
En este contexto, la norma ISO 31050:2023 emerge como una herramienta esencial para fortalecer la resiliencia organizacional.
Como complemento a la ya establecida ISO 31000:2018, esta nueva norma proporciona directrices específicas para la gestión de riesgos emergentes, aquellos que surgen de forma rápida e inesperada, con el potencial de generar un impacto significativo en las operaciones y objetivos de una empresa.
Este artículo analiza las principales características y diferencias conceptuales entre ISO 31050: 2023 e ISO 31000:2018, y su aplicación en el contexto empresarial colombiano.
Además, se explorarán las nuevas perspectivas que esta norma aporta a la gestión de riesgos, así como las conclusiones y recomendaciones para su implementación efectiva.
1. La ISO 31050:2023 y la ISO 31000:2018
La ISO 31050:2023 es una norma internacional que proporciona directrices para la gestión de riesgos emergentes con el fin de mejorar la resiliencia organizacional.
Se basa en la estructura de la ISO 31000:2018, pero introduce elementos específicos para abordar los desafíos únicos que presentan los riesgos emergentes.
Algunos riesgos emergentes que las organizaciones deben considerar en la actualidad con ISO 31050, son:
Tecnológicos:
Ciberseguridad: Ataques de ransomware, phishing, malware, vulnerabilidades en sistemas y aplicaciones, robo de datos.
Inteligencia artificial: Mal uso de la IA, sesgos algorítmicos, falta de transparencia en la toma de decisiones automatizadas, impacto en el empleo.
Blockchain: Volatilidad de las criptomonedas, riesgos regulatorios, desafíos en la escalabilidad y la interoperabilidad.
Internet de las cosas (IoT): Vulnerabilidades en dispositivos conectados, problemas de privacidad y seguridad de datos, dependencia tecnológica.
Automatización: Desplazamiento de puestos de trabajo, necesidad de adaptación de la fuerza laboral, riesgos de seguridad en entornos automatizados.
Sociales y ambientales:
Cambio climático: Eventos climáticos extremos, escasez de recursos, migraciones masivas, conflictos sociales.
Desigualdad social: Brecha salarial, falta de acceso a oportunidades, tensiones sociales, inestabilidad política.
Envejecimiento de la población: Presión sobre los sistemas de pensiones y salud, escasez de mano de obra, cambios en los patrones de consumo.
Migraciones: Flujos migratorios masivos, integración social, impacto en el mercado laboral, xenofobia.
Cambios demográficos: Crecimiento o disminución de la población, urbanización, diversidad cultural.
Económicos y políticos:
Inestabilidad geopolítica: Conflictos armados, tensiones comerciales, sanciones económicas, incertidumbre política.
Volatilidad económica: Recesiones, inflación, desempleo, fluctuaciones en los mercados financieros.
Proteccionismo: Guerras comerciales, barreras arancelarias, restricciones al comercio internacional.
Populismo: Polarización política, debilitamiento de las instituciones democráticas, incertidumbre en las políticas públicas.
Crisis financieras: Colapso de instituciones financieras, crisis de deuda, contagio financiero.
Otros:
Pandemias: Brotes de enfermedades infecciosas, restricciones de movilidad, disrupciones en las cadenas de suministro.
Terrorismo: Ataques terroristas, inestabilidad política, impacto en la seguridad y la economía.
Crisis alimentarias: Escasez de alimentos, aumento de precios, hambrunas.
Escasez de agua: Falta de acceso a agua potable, conflictos por recursos hídricos, impacto en la agricultura y la industria.
Resistencia a los antimicrobianos: Aparición de bacterias resistentes a los antibióticos, dificultad para tratar infecciones.
Es importante tener en cuenta que esta lista no es exhaustiva y que los riesgos emergentes varían según el sector, la ubicación geográfica y las características específicas de cada organización.
La identificación y gestión proactiva de estos riesgos es fundamental para la resiliencia y el éxito empresarial.
Diferencias conceptuales clave entre las normas
Las diferencias conceptuales entre las dos normas se fundamentan en:
Enfoque en riesgos emergentes: Mientras que la ISO 31000 proporciona un marco general para la gestión de riesgos, la ISO 31050 se centra específicamente en los riesgos emergentes, que se caracterizan por su novedad, la falta de información histórica y su rápida evolución.
Mayor énfasis en la anticipación y la adaptación: La ISO 31050 promueve un enfoque más proactivo y adaptable, reconociendo la importancia de la detección temprana de riesgos emergentes y la capacidad de la organización para adaptarse a nuevas circunstancias.
Énfasis en la resiliencia: La ISO 31050 resalta la importancia de la resiliencia organizacional, es decir, la capacidad de la empresa para resistir, absorber y recuperarse de eventos adversos.
2. Los riesgos y el marco normativo de solvencia II
En el sector empresarial colombiano, incluyendo el sector financiero, la gestión de riesgos se enmarca en un contexto regulatorio cada vez más exigente.
En el caso de las aseguradoras, el marco normativo de Solvencia II, adoptado por la Superintendencia Financiera de Colombia, establece un conjunto de requerimientos para garantizar la estabilidad financiera y la protección de los asegurados.
Solvencia II se basa en tres pilares:
Pilar I: Requisitos cuantitativos, que incluyen la valoración de activos y pasivos, y la determinación del capital mínimo requerido.
Pilar II: Requisitos cualitativos y reglas de gestión, que se centran en el sistema de gobernanza y los procesos internos de gestión de riesgos.
Aquí es donde la ISO 31050:2023 tiene una conexión directa, ya que proporciona una guía para la gestión de riesgos emergentes, un aspecto crucial para cumplir con los requisitos de este pilar.
La norma ayuda a las aseguradoras a identificar, evaluar y gestionar los riesgos emergentes de forma proactiva, lo que les permite cumplir con las exigencias de Solvencia II en cuanto a la gestión de riesgos.
Pilar III: Informes al supervisor y al público, que promueve la transparencia y la divulgación de información sobre el perfil de riesgo y la solvencia financiera de las aseguradoras.
La ISO 31050:2023 se alinea con los principios de Solvencia II al promover una gestión de riesgos integral y proactiva, que fortalece la capacidad de las aseguradoras para identificar, analizar y responder a los riesgos emergentes.
Al implementar la ISO 31050:2023, las aseguradoras no solo mejoran su capacidad para gestionar los riesgos emergentes, sino que también fortalecen su posición para cumplir con los requisitos de Solvencia II y garantizar la estabilidad financiera del sector.
3. La ISO 31050 y la gestión de riesgos
La ISO 31050:2023 aporta una serie de elementos clave para fortalecer la gestión de riesgos en las organizaciones:
Directrices específicas para riesgos emergentes: Proporciona un marco conceptual y herramientas para la identificación, análisis y tratamiento de riesgos emergentes.
Enfoque proactivo y adaptable: Promueve la anticipación y la adaptación como elementos esenciales para la gestión de riesgos en entornos dinámicos.
Fortalecimiento de la resiliencia: Ayuda a las organizaciones a desarrollar la capacidad de resistir, absorber y recuperarse de eventos adversos.
Mejora de la toma de decisiones: Facilita la toma de decisiones informadas al proporcionar una comprensión más completa del panorama de riesgos.
Cumplimiento normativo: Ayuda a las organizaciones a cumplir con los requisitos regulatorios en materia de gestión de riesgos.
4. Las nuevas perspectivas de la gestión de riesgos con la ISO 31050
La ISO 31050:2023 introduce nuevas perspectivas en los cinco componentes principales de la gestión de riesgos:
1. Comunicación y consulta:
Énfasis en la proactividad: La norma promueve una comunicación proactiva con las partes interesadas, anticipándose a los riesgos emergentes y manteniendo un diálogo continuo.
Esto implica ir más allá de la simple divulgación de información y buscar activamente la retroalimentación de las partes interesadas para identificar posibles riesgos y desarrollar estrategias de respuesta.
Canales de comunicación diversificados: Se reconoce la importancia de utilizar una variedad de canales de comunicación para llegar a las diferentes partes interesadas, considerando sus necesidades y preferencias.
Esto puede incluir plataformas digitales, redes sociales, reuniones presenciales y otros mecanismos que faciliten el intercambio de información y la participación.
Comunicación bidireccional: La ISO 31050:2023 enfatiza la importancia de establecer una comunicación bidireccional con las partes interesadas, promoviendo el diálogo y el intercambio de ideas.
Esto permite una mejor comprensión de las perspectivas de las partes interesadas y facilita la toma de decisiones informadas sobre la gestión de riesgos emergentes.
2. Establecimiento del contexto:
Análisis del entorno externo: La norma amplía la consideración del contexto para incluir un análisis más profundo del entorno externo, considerando factores como las tendencias sociales, económicas, políticas y tecnológicas que pueden influir en la aparición de riesgos emergentes.
Esto implica realizar un seguimiento constante de los cambios en el entorno y evaluar su potencial impacto en la organización.
Identificación de vulnerabilidades: Se hace hincapié en la identificación de las vulnerabilidades de la organización frente a los riesgos emergentes, considerando factores como la dependencia de tecnologías críticas, la concentración de proveedores, la falta de diversidad en la fuerza laboral y otros aspectos que pueden aumentar la susceptibilidad a los riesgos.
Enfoque dinámico: Se reconoce que el contexto es dinámico y está en constante evolución, por lo que se requiere un enfoque flexible y adaptable para el establecimiento del contexto.
Esto implica revisar y actualizar periódicamente el análisis del contexto para asegurar que se mantiene relevante y refleja la realidad actual.
3. Evaluación del riesgo:
Técnicas de análisis predictivo: La ISO 31050:2023 promueve la utilización de técnicas de análisis predictivo para identificar y evaluar riesgos emergentes.
Esto puede incluir el análisis de tendencias, el modelado de escenarios, la simulación y otras herramientas que permiten anticipar posibles eventos y evaluar su probabilidad e impacto.
Gestión de la incertidumbre: Se reconoce que los riesgos emergentes se caracterizan por un alto grado de incertidumbre, por lo que se enfatiza la importancia de desarrollar estrategias para gestionar la incertidumbre.
Esto puede incluir la utilización de rangos de probabilidad e impacto, el análisis de sensibilidad y otras técnicas que permitan evaluar el riesgo en diferentes escenarios.
Monitoreo de señales débiles: La norma destaca la importancia de monitorear las “señales débiles” que pueden indicar la aparición de un riesgo emergente.
Estas señales pueden ser sutiles y difíciles de detectar, pero su identificación temprana puede ser clave para una respuesta efectiva.
4. Tratamiento del riesgo:
Adaptación e innovación: La ISO 31050:2023 introduce la adaptación y la innovación como estrategias clave para el tratamiento de los riesgos emergentes.
La adaptación implica ajustar las operaciones y estrategias de la organización para responder a los cambios en el entorno, mientras que la innovación se centra en el desarrollo de nuevas soluciones y modelos de negocio para aprovechar las oportunidades que presentan los riesgos emergentes.
Colaboración: Se promueve la colaboración con otras organizaciones y partes interesadas para desarrollar soluciones conjuntas a los riesgos emergentes.
Esto puede incluir la creación de alianzas estratégicas, la participación en iniciativas sectoriales y otras formas de cooperación que permitan compartir información, recursos y mejores prácticas.
Flexibilidad: Se reconoce que las estrategias de tratamiento deben ser flexibles y adaptables para responder a la naturaleza dinámica de los riesgos emergentes.
Esto implica revisar y ajustar las estrategias de forma continua para asegurar su efectividad.
5. Monitoreo y revisión:
Monitoreo continuo: La ISO 31050:2023 enfatiza la importancia del monitoreo continuo de los riesgos emergentes y su entorno.
Esto implica implementar sistemas de alerta temprana, realizar un seguimiento de los indicadores clave de riesgo y mantener una vigilancia constante sobre los cambios en el entorno.
Evaluaciones periódicas: Se recomienda realizar evaluaciones periódicas de la efectividad de las estrategias de gestión de riesgos emergentes.
Estas evaluaciones deben incluir una revisión de los procesos, las herramientas y los recursos utilizados para la gestión de riesgos, así como un análisis de los resultados obtenidos.
Aprendizaje y mejora: La norma promueve el aprendizaje continuo a partir de la experiencia en la gestión de riesgos emergentes.
Esto implica documentar las lecciones aprendidas, identificar áreas de mejora y actualizar los procesos y estrategias de gestión de riesgos en consecuencia.
5. Conclusiones y recomendaciones
La ISO 31050:2023 representa un avance significativo en la gestión de riesgos, proporcionando un marco conceptual y herramientas específicas para abordar los desafíos que presentan los riesgos emergentes.
Su implementación en el sector empresarial colombiano, incluyendo el sector financiero, puede fortalecer la resiliencia organizacional y la capacidad de respuesta ante eventos adversos.
Para una implementación efectiva de la ISO 31050:2023, se recomienda:
Adoptar un enfoque proactivo y adaptable: Anticipar y adaptarse a los cambios en el entorno para identificar y gestionar los riesgos emergentes de forma oportuna.
Fomentar una cultura de gestión de riesgos: Integrar la gestión de riesgos en la cultura organizacional, promoviendo la participación de todos los niveles de la empresa.
Invertir en formación y desarrollo: Capacitar a los profesionales en la gestión de riesgos emergentes, proporcionándoles las herramientas y conocimientos necesarios.
Utilizar tecnología avanzada: Implementar herramientas analíticas y de monitoreo para la identificación y evaluación de riesgos emergentes.
Colaborar con las partes interesadas: Establecer canales de comunicación efectivos con las partes interesadas para compartir información y fortalecer la resiliencia.
La ISO 31050:2023 se erige como un faro en el complejo y dinámico panorama de riesgos actual.
No se trata simplemente de una actualización, sino de una evolución en la gestión de riesgos, ofreciendo un marco robusto y adaptable para afrontar las incertidumbres y los desafíos que caracterizan la cuarta revolución industrial.
Su enfoque proactivo, con énfasis en la anticipación y la resiliencia, permite a las organizaciones no solo sobrevivir a las turbulencias, sino también prosperar en medio de ellas.
En el contexto colombiano, donde las empresas se enfrentan a un entorno marcado por la volatilidad económica, los avances tecnológicos disruptivos y las crecientes demandas regulatorias, la adopción de la ISO 31050:2023 se vuelve especialmente relevante.
Esta norma proporciona a las organizaciones las herramientas necesarias para identificar, analizar y gestionar los riesgos emergentes de manera efectiva, fortaleciendo su capacidad de respuesta y asegurando su sostenibilidad a largo plazo.
Más allá de un mero cumplimiento normativo, la implementación de la ISO 31050:2023 representa una oportunidad para que las empresas colombianas desarrollen una cultura de gestión de riesgos proactiva e integrada, impulsando la innovación, la competitividad y el crecimiento sostenible.
En este camino hacia la resiliencia organizacional, SFAI Global se consolida como un socio estratégico, brindando su experiencia y conocimiento para guiar a las empresas en la adopción e implementación efectiva de esta norma, permitiéndoles navegar con éxito en el incierto pero apasionante océano de los negocios del siglo XXI, por lo que presentamos alguno sectores en los que se podrá implementar esta norma:
Sector financiero:
Banca: Un banco podría utilizar la ISO 31050:2023 para identificar y evaluar los riesgos emergentes relacionados con el uso de la inteligencia artificial en la concesión de créditos.
Esto implicaría analizar el potencial de sesgos algorítmicos, la calidad de los datos utilizados para el entrenamiento de los modelos de IA y el impacto de la automatización en la toma de decisiones de crédito.
Con base en este análisis, el banco podría implementar estrategias de mitigación, como la definición de límites para la toma de decisiones automatizada, la auditoría de los algoritmos y la capacitación del personal en el uso responsable de la IA.
Aseguradoras: Una compañía de seguros podría utilizar la ISO 31050:2023 para identificar y evaluar los riesgos emergentes relacionados con el cambio climático.
Esto implicaría analizar el impacto de eventos climáticos extremos en las pólizas de seguros, la necesidad de desarrollar nuevos productos de seguros para cubrir los riesgos climáticos y la adaptación de las estrategias de inversión para considerar los factores ambientales, sociales y de gobernanza (ESG).
Sector real:
Agricultura: Una empresa agrícola podría utilizar la ISO 31050:2023 para identificar y evaluar los riesgos emergentes relacionados con la escasez de agua.
Esto implicaría analizar el impacto de la sequía en los cultivos, la necesidad de implementar sistemas de riego más eficientes y la búsqueda de variedades de cultivos más resistentes a la sequía.
Además, la empresa podría explorar oportunidades de innovación, como la utilización de tecnologías de agricultura de precisión para optimizar el uso del agua.
Manufactura: Una empresa manufacturera podría utilizar la ISO 31050:2023 para identificar y evaluar los riesgos emergentes relacionados con la ciberseguridad.
Esto implicaría analizar las vulnerabilidades de los sistemas informáticos y de control industrial, la implementación de medidas de seguridad para proteger los datos y la infraestructura crítica, y la capacitación del personal en materia de ciberseguridad.
SFAI Global, Firma internacional con presencia en Colombia, ofrece una amplia gama de servicios para ayudar a las organizaciones a identificar, analizar y gestionar los riesgos emergentes, fortaleciendo su resiliencia y asegurando la continuidad del negocio consolidando su experiencia en diversos sectores, no solo en riesgos, sino, en otras áreas empresariales como, gobierno corporativo, control interno, cumplimiento normativo, entre otros servicios.
Los invitando a contactar a SFAI Global para obtener más información sobre nuestros servicios en www.sfai.co/contactenos/ o en el WhatsApp +57 318 3714596.