1. Inicio
  2. Blog
  3. ISO 31010 y Apreciación del Riesgo
ISO 31010 y Apreciación del Riesgo

La apreciación del riesgo según la ISO 31010

Por Víctor Parrado López – Consultor de Sistemas de Gestión

En la actualidad, la mayoría de las organizaciones son complejas; albergan muchos departamentos, trabajan equipos de manera deslocalizada, etc. Además, el factor humano añade una complejidad, ya de por sí alta, a la cuestión; diferentes culturas, perfiles muy diferentes entre sí, etc. Este hecho puede esconder la necesidad de gestionar todos los posibles eventos que pudieran dificultar la operativa de nuestra organización. Este es el “paso de madurez” que posiciona a las organizaciones en el mercado, y que tendrá una proyección en la competitividad de la misma.

Pero, ¿de qué manera puedo identificar los riesgos de mi organización de manera conveniente? ¿Qué debo tener en cuenta al realizar dicha labor? ¿De qué manera puedo ponderar los riesgos de una organización? ¿Debo estimarlos o debo medirlos de manera exacta? No pretende este artículo ser la solución categórica a estas cuestiones, pero si arrojar algo de luz sobre las mismas y proponer algunos factores y directrices, fruto nuestra experiencia en este dominio, que ayuden a solucionar de manera conveniente estas preguntas.

Las cuestiones que propone la ISO 31010

Para intentar paliar algunos de estos problemas, ISO 31010 propone una serie de cuestiones a tener en cuenta en el proceso de apreciación del riesgo. Principalmente se tratan de una serie de directrices que van a determinar, en gran medida, el criterio de identificación de cada riesgo.
Estas directrices pasan por establecer el contexto y objetivos de la organización, con el fin de adaptar dicho criterio a los aspectos propios de la organización; otra parte fundamental será establecer el alcance y el tipo de riesgos que se consideran tolerables; además serán determinantes los recursos disponibles y la comunicación entre las partes internas y externas. Por último, será un factor determinante para el éxito del mismo los métodos y técnicas utilizadas para la apreciación del riesgo, que comprenden la identificación de los mismos, el análisis de estos y su posterior evaluación.

Es lógico pensar que el nivel de madurez de la organización determinará, en gran medida, las técnicas de apreciación del riesgo que ésta utilizará. Es por eso que entre las numerosas técnicas que propone ISO 31010, debemos utilizar la que se adecue con nuestros propósitos y posibilidades, cada una con sus ventajas o inconvenientes.

Para una organización sin experiencia previa en la apreciación de sus riesgos, puede ser conveniente utilizar una técnica que nos proporcione un primer nivel de aproximación de nuestros riesgos, la cual nos permita gestionar los mismos. Ejemplos de esta filosofía pueden ser las técnicas como “Tormenta de ideas” o Entrevistas con los responsables de las distintas áreas, fáciles y rápidas de implementar pero que necesitan que los participantes cuenten con una dilatada experiencia en el área para una consecución satisfactoria, apoyándose primordialmente en el factor humano.

Por el contrario, en una organización que cuente con un notable nivel de madurez puede ser conveniente realizar la apreciación de una forma mucho más minuciosa, eliminando de manera sensible la incertidumbre y utilizando métodos estadísticos para ello, un ejemplo puede ser la técnica de simulación Montecarlo. Para aplicar esta técnica se realiza un modelo o algoritmo, cuya entrada serán números aleatorios, tomando distribuciones de probabilidad apropiadas, y su salida serán simulaciones del sistema que permitan modelar la frecuencia de una respuesta. Podemos utilizar esta técnica para determinar de manera más exacta que con las técnicas anteriores, la probabilidad de que se materialice un riesgo, o que la explotación de una vulnerabilidad traiga una consecuencia definida. Pese a las sustanciosas ventajas que pueda tener, nos encontramos con que una definición exacta del modelo requiere, además de experiencia del modelador del mismo, tiempo, sobre todo ante modelos grandes.

No obstante, en una organización de tamaño considerable, podría ser imprudente realizar una gestión de riesgos de manera manual, pues la complejidad seguramente lo impediría. Además en el caso en que una empresa utilice distintas metodologías (por los diferentes propósitos de los distintos departamentos) dificultaría en gran medida el análisis de riesgos, el plan o planes de tratamiento pertinentes y la obtención de los distintos indicadores para la mejora continua que propone la norma.

Por esa razón, desde GlobalSUITE Solutions proponemos una solución a esta problemática mediante la herramienta GlobalSUITE® facilitando las labores anteriormente comentadas. En GlobalSUITE Risk Management será posible llevar la apreciación del riesgo aplicando distintas metodologías, satisfaciendo así las necesidades de los distintos departamentos. Además, se podrán gestionar distintos planes de tratamiento de riesgo dependiendo de diferentes análisis, todo ello aprovechando los recursos invertidos por los distintos departamentos, centralizando así el esfuerzo.

Por otra parte, GlobalSUITE Risk Management es una herramienta que forma parte de un sistema de gestión integral, que es GlobalSUITE®. De esta manera, ante la adopción de otros estándares se encontrarán todos los esfuerzos centralizados, se tratará de un proceso incremental y su mantenimiento será óptimo. Además, mediante el módulo GlobalSUITE Balanced ScoreCard la alta dirección obtendrá una visión global del estado de su sistema de gestión, junto con todos los elementos que lo componen, estando alineados éstos con los objetivos de la misma y posibilitando la detección temprana de desviaciones.

Webinars

Buscador

¿Necesita más información?

Póngase en contacto con nuestro equipo de expertos para solicitar más información sobre nuestras soluciones

Menú