ISO 31000 y Gobernanza Corporativa

La gobernanza corporativa y la gestión del riesgo son inseparables. Un directorio que no tiene visibilidad sobre los riesgos principales de la organización no puede cumplir su deber fiduciario de supervisión. ISO 31000 proporciona el marco para integrar la gestión del riesgo en la gobernanza, asegurando que las decisiones estratégicas se tomen con plena conciencia de los riesgos involucrados.

Rol del directorio en la gestión del riesgo

El directorio tiene responsabilidades específicas que ISO 31000 ayuda a cumplir: aprobar el apetito de riesgo, supervisar la eficacia del marco de gestión del riesgo, asegurarse de que los riesgos principales están identificados y gestionados, revisar el perfil de riesgo periódicamente y promover una cultura de gestión del riesgo.

Comité de riesgos

Muchas organizaciones establecen un comité de riesgos del directorio como órgano especializado para supervisar la gestión del riesgo, revisar los riesgos principales y los planes de tratamiento, evaluar la eficacia del marco y del proceso, y asesorar al directorio sobre temas de riesgo.

Tres líneas de defensa

Línea	Función	Responsable
Primera	Gestión directa de riesgos y controles	Gerentes y equipos operacionales
Segunda	Supervisión, marco y políticas de riesgo	Gestión de riesgos, compliance, control interno
Tercera	Aseguramiento independiente	Auditoría interna

Conexión con compliance

La gestión del riesgo y el compliance son componentes complementarios de la gobernanza. ISO 31000 proporciona la metodología para evaluar riesgos de incumplimiento, priorizar los requisitos regulatorios según su riesgo, tomar decisiones informadas sobre inversión en compliance y demostrar ante reguladores que el riesgo se gestiona sistemáticamente.

Cultura de gestión del riesgo

Los principios de ISO 31000 reconocen que los factores humanos y culturales influyen en la gestión del riesgo. Una cultura de riesgo saludable se caracteriza por transparencia (los riesgos se reportan sin temor), responsabilidad (cada persona gestiona los riesgos de su ámbito), aprendizaje (los errores generan mejora, no castigo) y decisiones informadas (el riesgo se considera explícitamente en cada decisión).

Regulación chilena: La Ley 20.393 de Responsabilidad Penal de las Personas Jurídicas exige un modelo de prevención de delitos que incluye evaluación de riesgos de los delitos cubiertos. ISO 31000 proporciona la metodología para esta evaluación, complementando el programa de compliance.

Buena práctica: Incluye un reporte de riesgos en cada sesión del directorio. No necesita ser extenso: un dashboard con los 10 riesgos principales, su tendencia y el estado de los planes de tratamiento es suficiente para mantener al directorio informado y generar conversación estratégica sobre riesgo.

Gobernanza de riesgos con GRC360

GRC360 te permite implementar el modelo de tres líneas de defensa, generar reportes para el directorio, gestionar el apetito de riesgo y demostrar gobernanza efectiva ante reguladores y partes interesadas.

Crear Cuenta Gratis

Revisa también ISO 31000, apetito de riesgo y GRC.