30 Todas las actividades de una organización están sometidas de forma permanente a una serie de amenazas, lo cual las hace altamente vulnerables, comprometiendo su estabilidad. Accidentes operacionales, enfermedades, incendios u otras catástrofes naturales, son una muestra de este panorama, sin olvidar las amenazas propias de su negocio. Tradicionalmente, las organizaciones han tratado estos riesgos mediantes estrategias de reacción y soluciones puntuales. No obstante, la experiencia ha demostrado que los elementos que conforman los riesgos y los factores que determinan el impacto de sus consecuencias sobre un sistema, son los mismos que intervienen para todos los riesgos en una organización. Por ello, la tendencia moderna es utilizar un enfoque integral de manejo de los mismos conocido como “Enterprise Risk Management” (ERM), con el fin de evaluar, administrar y comunicar estos riesgos de una manera integral, basados en los objetivos estratégicos de la organización. La gestión integral de riesgos ha ganado impulso en los últimos años, especialmente a partir de la década de los noventa, lo que ha conllevado la aparición de “Modelos de Gestión de Riesgos”, algunos de ellos de carácter más específico, como por ejemplo: COSO, ISO 14000, ISO 22000, OHSAS, etc. y otros de carácter más global como la norma AS/NZS 4630 o la norma ISO 31000. La variedad, complejidad y naturaleza de los riesgos puede ser de muy diversa índole. La norma ISO 31000 no es certificable dado que no establece directrices para el tratamiento de riesgos concretos sino que da orientaciones para la implantación de un sistema de gestión del riesgo que sea compatible con los estándares de gestión de riesgos particulares de cualquier sector al proponer pautas genéricas sobre cómo gestionar los riesgos de forma sistemática y transparente. El diseño y la implantación de la gestión de riesgos dependerá de las diversas necesidades de cada organización, objetivos concretos, contexto, estructura, operaciones, procesos, proyectos, servicios, etc Es importante que la organización establezca las reglas para la toma de riesgos o dicho de otra forma, cual será su “actitud frente al riesgo” y que elaboren una declaración respecto del “apetito de riesgo” que es aplicable a los mismos. Es bastante fácil decir que la organización no tiene apetito por causar lesiones o provocar enfermedades a sus empleados. En la práctica, esto normalmente se documenta en un conjunto de objetivos para el control de riesgos respecto de salud y seguridad. Pero los riesgos pueden afectar a una organización en el corto, mediano y largo plazo. Estos riesgos están relacionados con la operación diaria, la táctica y la estrategia, respectivamente. La estrategia establece los objetivos a largo plazo de la organización, cuyo horizonte de planificación típico podría ser de 3, o 5 años. Las tácticas definen cómo una organización tiene la intención de lograr un cambio. Por lo tanto, los riesgos tácticos son típicamente asociados con los proyectos, fusiones, adquisiciones y desarrollos de productos. Las operaciones son las actividades rutinarias de la organización En el nivel directivo, la actitud y el apetito de riesgo es el conductor de las decisiones estratégicas de riesgo de toda la organización. A nivel ejecutivo, el apetito de riesgo se traduce en un conjunto de procedimientos para garantizar que el riesgo reciba la atención adecuada al tomar decisiones tácticas. A nivel operativo, el apetito de riesgo dicta las restricciones operacionales de las actividades de rutina. A pesar de su importancia, es sorprendente que el concepto de apetito por el riesgo no se menciona en la norma ISO 31000, a pesar de que está incluido en la mayoría de los estándares de gestión de riesgos. Las consecuencias de la materialización de riesgos pueden ser riesgos (peligros) negativos, o riesgos (oportunidades) positivos. A nivel operativo normalmente se controlan los riesgos peligrosos o daños físicos, a nivel táctico y estratégico sobre todo, se debe también contemplar las oportunidades. Los procesos de la gestión de riesgos propuesta por la ISO 31000 es similar a la que se estudia con el PMBOK, excepto en cuanto al tratamiento tipo ERM. Las organizaciones tienen que establecer definiciones adecuadas para los diferentes niveles de probabilidad y consecuencias asociadas a los diferentes riesgos. La clasificación de riesgos puede ser cuantitativos, semi-cuantitativa o cualitativa en términos de la probabilidad de ocurrencia y las posibles consecuencias