| 25 años generando CONFIANZA
Índice de contenidos
ToggleGestión de riesgos
Como hemos hablado en artículos anteriores, los componentes del estándar ISO 31000:2018 son los principios, marco de referencia, procesos y técnicas.
Los procesos se llevan a cabo por medio de un conjunto de técnicas, las cuales están descritas en la norma ISO 31010, cuya última versión es del año 2019. Esto es diferente a una Gestión Integral de Riesgos, en la que habrá que trabajar con múltiples metodologías.
Esta norma está centrada en el componente procesos y proporciona un conjunto de técnicas para poder llevar a cabo estos procesos a través de metodologías reconocidas por el organismo internacional de normalización ISO.
Analizar los elementos del proceso de gestión de riesgos, nos va a permitir generar una herramienta metodológica. En primer lugar, hay que establecer un alcance y un contexto, el cual nos permite generar unos criterios que se establecen en la política de riesgo. Esta política determina cuando aceptar, hasta donde tolerar o cuál es el apetito del riesgo. Por ejemplo, en la política quedarían establecidos cuáles son los recursos que vamos a emplear para la gestión de los riesgos, los planes de tratamiento y los controles.
Tras definir este aspecto estratégico, nos centramos en la evaluación de riesgos. Esta etapa corresponde a lo que denominamos la matriz del riesgo, donde tenemos un conjunto de datos los cuales se pueden relacionar para que por medio de unas operaciones matemáticas, podamos obtener los resultados que nos permitan priorizar sobre cuáles son los riesgos que tienen mayor nivel de probabilidad e impacto, por lo que nos pueden afectar más que otros en la organización.
Este proceso tiene unas entradas que son la comunicación y consulta. También tiene unas salidas, un registro e informe, que es el producto de que se haga un seguimiento y revisión por medio del uso de los KRI (indicadores de riesgos clave). Serían los mismos indicadores que conocemos comúnmente sobre el desempeño de los procesos, pero en este caso sujeto a lo que son los riesgos.
Por ejemplo, la relación que tenemos de riesgo residual vs. el riesgo inherente. Si nosotros tenemos acciones de tratamientos eficaces, quiere decir que esa relación va a ir en disminución, es decir, los riesgos residuales van a ser menores que los riesgos inherentes. Por lo tanto, ese porcentaje, si lo multiplicamos por 100 en una operación matemática, debería ir bajando en función a la eficacia que tiene nuestros planes de tratamiento de riesgos.
Como ya hemos mencionado, el proceso se compone de cuatro etapas, a continuación vamos a hablar sobre ellas.
Comunicación y consulta
La comunicación es necesaria para la toma de conciencia y la comprensión del riesgo. Las personas dentro de las organizaciones deben ser conscientes de los riesgos y comprende que estos no son algo abstracto, son algo real.
La consulta es para poder utilizar los canales de comunicación adecuados para poder obtener la información con mayor precisión para la toma de decisiones.
Estos dos componentes nos van a permitir encauzar el proceso, el cual inicia con el alcance, el contexto y los criterios.
Procesos
Entrando en materia de riesgo, inicia con el alcance, el contexto y los criterios. En cuanto a la definición de alcance, vamos a ver qué tipo de riesgos son los que nos interesa revisar, en qué procesos y en qué ubicaciones geográficas. Con respecto al contexto, debemos analizar lo que son los factores internos y externos. En cuanto a factores internos, debemos revisar lo que es la competencia, la tecnología, la cantidad de documentación con la que contamos, la calidad de la documentación o los criterios de aceptación o rechazo. En relación con los factores externos como los políticos, los ambientales, los sociales, tecnológicos y los legales.
Haciendo referencia a la definición de criterios, nos lleva a que una vez que tengamos toda esta información, hay que configurar una política de gestión de riesgos, la cual nos permita actuar de forma concreta en las técnicas a implementar para poder hacer una adecuada valoración del riesgo y en consecuencia, su tratamiento.
Las dos variables principales son la probabilidad y la consecuencia. Hay que ver que sus operaciones matemáticas no son simples, se trata de operaciones en las que se combinan vectores, por lo que el resultado es un riesgo.
Las etapas del core del proceso de riesgo, son:
- Identificación del riesgo: tiene que ver con los procesos, actividades y la conceptualización de ese riesgo.
- Análisis de riesgos: donde se habla de las causas, el efecto y los controles que tenemos por defecto, ya que la organización tiene unos controles preestablecidos desde que se concibe como organización.
- Valoración del riesgo: en la cual se combina la probabilidad y el impacto, el cual nos va a dar un resultado, lo cual nos lleva a la priorización de los riesgos y nos genera un seguimiento.
Seguimiento y revisión
El seguimiento y la revisión se realiza para asegurar, mejorar la calidad y la eficacia del diseño, la implementación y los resultados del proceso. Requiere que haya responsables definidos perfectamente y ejecutarlo en todas las etapas del proceso.
Registro e informe
El registro e informe nos permite comunicar las actividades de gestión del riesgo y sus resultados. También nos permite proporcionar información para realizar una adecuada toma de decisiones, lo que conlleva una mejora en las actividades de la gestión del riesgo.
IEC 31010: 2019. Gestión de Riesgos: Técnicas de Evaluación de Riesgos
Ahora vamos a ver cómo hacemos uso de la IEC 31010, ya que nos da las directrices sobre:
- Técnicas para analizar y valorar la eficacia de los controles. En cuanto al grado o el alcance de esos controles para mitigar los riesgos.
- Técnicas para comprender las consecuencias y la probabilidad. Es muy importante porque se puede tener una ponderación simple como alta, media o baja, pero es necesario saber cuáles serían los factores que me permitirían pasar, por ejemplo, de una probabilidad alta a baja.
- Técnicas para analizar las dependencias e interacciones. En la ISO 31010 se habla de cómo gestionar la combinación de riesgos.
- Técnicas para medir (cuantificar) el riesgo. Al hablar de probabilidad por impacto, estamos hablando de vectores, por lo tanto, la relación que deben tener estos son por medio de operaciones de vectores o en todo caso, operaciones matriciales.
- Técnicas para registrar y reportar. Tratan sobre el modo en el que se va a entregar la información, qué clase de información, si es útil los mapas de calor.
- Técnicas para seleccionar entre alternativas. Considerando la mejor opción.
- Técnicas para evaluar la relevancia del riesgo. Son las que se emplean cuando un riesgo, aunque esté tratado y permanece.
- Técnicas para identificar causas, orígenes y fuerzas impulsoras del riesgo. Estas técnicas analizan cuáles son las fuentes de los riesgos y qué es lo que hace que un riesgo se dispare o se materialice,
- Técnicas para identificar riesgos. Hacen referencia a las que indican de dónde se va a sacar esa información para la identificación del riesgo.
- Técnicas para la obtención de perspectiva (visualización). Para determinar cómo tener una perspectiva desde los diferentes tipos de riesgo que existen dentro de las organizaciones.
Software para la gestión de riesgos
ISOTools, el software para la gestión de riesgos, facilita la identificación y administración de los riesgos que están presentes en la organización, permitiendo su gestión de forma integrada.
La automatización de la gestión de riesgos a través de un software como ISOTools, permite identificar visualmente los riesgos prioritarios. Así es posible tomar mejores decisiones ya que podrá consultar toda la información de forma visual en mapas de calor e informes personalizados.
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La estructura de ISO 42001 es la acostumbrada por ISO para sus estándares certificables, y con posibilidad de…