Experiencias prácticas de automatización en la gestión de riesgos y niveles de madurez teniendo como referencia la Norma ISO 31000

Hoy en día son muchas las organizaciones que están expuestas a una serie de riesgos y no son conscientes de las consecuencias y la problemática que ello conlleva. No obstante, en los últimos años ha proliferado el tratamiento de determinados riesgos, bien sean  riesgos de seguridad de la información, relacionados con la continuidad del negocio o relacionados con el medio ambiente, basándose en normativas internacionales como las normas ISO. En concreto las normas ISO 27001, ISO 22301 e ISO 14001 son las que nos ayudan al tratamiento de los riesgos para las problemáticas comentadas.

Sin embargo, estos no son los únicos riesgos a los que se expone una organización, ya que dependiendo de cada una de las líneas de negocio podremos estar expuestos a unos u otros riesgos, y en general, muchas de estas organizaciones son desconocedoras de esta situación y creen tener la certeza de que en su organización no tiene ningún riesgo.

Con este desconocimiento son muchas las organizaciones que no llegan a cumplir sus objetivos año tras año, siendo esta situación uno de los principales riesgos que deberían llegar a tratarse para conseguir llegar a rectificar cualquier tipo de desviación producida y que pueda llegar a impedir la consecución del objetivo, originada principalmente por la carencia de análisis de riesgos.

Además, es necesario que las organizaciones sean conscientes y conocedoras de los riesgos a los que están expuestas o a los que pueden llegar a estar. Por ello, nace la norma ISO 31000 con el fin de conseguir subsanar esas desviaciones que pudieran estar produciéndose, y convirtiéndose esta norma en un referente en el que apoyarse para llevar a cabo la gestión del riesgo.

Esta norma nos facilita el poder implantar un Sistema de Gestión de Riesgos basándonos en un marco de trabajo y el proceso de Gestión de Riesgos, y así poder conseguir un mayor nivel de madurez, una mejora en la eficacia y la eficiencia operacional y aportar una mayor confianza a los clientes, entre otra serie de mejoras.

A la hora de implantar el proceso de gestión de riesgos, las organizaciones toman dos caminos, normalmente en base a la madurez respecto a los riesgos y en base al apoyo que reciben de Dirección.

En primer lugar se apuesta por la implantación del Sistema de Gestión de Riesgos de manera manual, es decir, apoyándose únicamente en documentos y hojas de cálculo. Con este método, en pequeñas organizaciones se puede llegar a implantar el proceso, pero a corto plazo desvirtúan los objetivos que se pretenden conseguir con la implantación de estos sistemas,  por no hablar de la cantidad de tiempo invertido en la adaptación de estos documentos que rápidamente quedan desactualizados. Evidentemente, en grandes organizaciones este método es impensable.

El segundo de los caminos es el que nos lleva por la implantación de un Sistema de Gestión de Riesgos de manera automatizada, es decir, mediante

la utilización de herramientas que han sido expresamente creadas para facilitar en la mayor medida posible el implantar el proceso de gestión de riesgos, y que en algunas herramientas se puede contar con amplios catálogos de amenazas para diferentes sectores y organizaciones que facilitan la realización de un análisis de riesgos.

Asimismo, existen varias herramientas para llevar a cabo una gestión de riesgos de manera automatizada, si bien en la mayoría de los casos no están basadas en una norma como la ISO 31000. Además, este tipo de herramientas permiten poder llevar a cabo una gestión de cualquier tipo de riesgo; riesgos operacionales, financieros, industriales, legales, operativos, es decir, se ajustan completamente a las necesidades de cada una de las organizaciones facilitando en gran medida la adecuación a esta normativa.

Otro de los aspectos a tener en cuenta en este tipo de herramientas que facilitan la automatización de la gestión de riesgos es el ver la facilidad y el apoyo para la identificación de los distintos riesgos a los que están expuestas las organizaciones, así como la propuesta de posibles controles para conseguir reducir los riesgos de las compañías, consiguiéndolo gracias a un plan de tratamiento de riesgos. Sobre dicho tratamiento es vital poder realizar un seguimiento, y realizar proyecciones y simulaciones que nos permitan visualizar el resultado de riesgos que podríamos obtener con la implantación de los controles definidos en el plan de tratamiento de riesgos.

Para cubrir todas estas necesidades surge GlobalRISK®, una solución más de las integradas dentro de la plataforma GlobalSUITE® y que ha sido desarrollada íntegramente por Audisec, que está formada por múltiples soluciones para la implantación, gestión, mantenimiento y despliegue de cualquier Sistema de Gestión empresarial dentro de una única solución.

GlobalRISK® es una herramienta creada para cubrir todos los requerimientos de la norma ISO 31000 y poder implantar un Sistema de Gestión de Riesgos completo en las organizaciones, permitiendo desarrollar el ciclo completo de apreciación de riesgos (Identificación, Análisis y Evaluación de riesgos).

Gracias a GlobalRISK® se ha conseguido gran cantidad de casos de éxito de organizaciones que han obtenido un Sistema de Gestión de Riesgos automatizado y en base a sus necesidades, tanto en organizaciones de Latinoamérica como de España, y desplegándose actualmente a USA y resto de Europa.