ISO 31010 y Apreciación del Riesgo

Por Víctor Parrado López – Consultor de Sistemas de Gestión

En la actualidad, la mayoría de las organizaciones son complejas; albergan muchos departamentos, trabajan equipos de manera deslocalizada, etc. Además, el factor humano añade una complejidad, ya de por sí alta, a la cuestión; diferentes culturas, perfiles muy diferentes entre sí, etc. Este hecho puede esconder la necesidad de gestionar todos los posibles eventos que pudieran dificultar la operativa de nuestra organización. Este es el “paso de madurez” que posiciona a las organizaciones en el mercado, y que tendrá una proyección en la competitividad de la misma.
Pero, ¿de qué manera puedo identificar los riesgos de mi organización de manera conveniente? ¿Qué debo tener en cuenta al realizar dicha labor? ¿De qué manera puedo ponderar los riesgos de una organización? ¿Debo estimarlos o debo medirlos de manera exacta? No pretende este artículo ser la solución categórica a estas cuestiones, pero si arrojar algo de luz sobre las mismas y proponer algunos factores y directrices, fruto nuestra experiencia en este dominio, que ayuden a solucionar de manera conveniente estas preguntas.
En un sistema de gestión con una madurez media, la organización en cuestión tiene identificados los procesos que permiten alcanzar los objetivos de negocio propuestos. Contextualizar el proceso de apreciación de los riesgos en cada uno de estos procesos puede proporcionarnos un punto de vista que nos permita centrarnos en dimensiones tales como el impacto o la probabilidad de materialización del riesgo.
Este prisma proporcionará a la organización un nivel de gestión óptimo, en el que determinará qué procesos se ven afectados ante la materialización de un riesgo determinado y cuál es el riesgo global en la organización ante la caída (en caso de producirse) de ese proceso concreto.
La apreciación del riesgo es el proceso global de identificación, análisis y de evaluación del riesgo, sin embargo surgen muchas dudas cuando se llevan a cabo esta labor. Esto es debido a que existen muchos factores que intervienen en dicha tarea, entre ellos la división en distintos departamentos de la organización con escasa comunicación, la diferente naturaleza de los riesgos que se gestionan y el factor humano. ¿Dos departamentos deben tener la misma metodología de análisis de riesgos? ¿De qué manera gestiono los riesgos ante distintos servicios o procesos de la organización? ¿De qué manera puedo informar a la dirección del resultado de los riesgos de la organización y de su tratamiento, sin que esta labor sea un lastre para la operativa de la misma? ¿Se establecen criterios formales para la identificación del riesgo?
Para intentar paliar algunos de estos problemas, ISO 31010 propone una serie de cuestiones a tener en cuenta en el proceso de apreciación del riesgo. Principalmente se tratan de una serie de directrices que van a determinar, en gran medida, el criterio de identificación de cada riesgo.
Estas directrices pasan por establecer el contexto y objetivos de la organización, con el fin de adaptar dicho criterio a los aspectos propios de la organización; otra parte fundamental será establecer el alcance y el tipo de riesgos que se consideran tolerables; además serán determinantes los recursos disponibles y la comunicación entre las partes internas y externas. Por último, será un factor determinante para el éxito del mismo los métodos y técnicas utilizadas para la apreciación del riesgo, que comprenden la identificación de los mismos, el análisis de estos y su posterior evaluación.

 

Es lógico pensar que el nivel de madurez de la organización determinará, en gran medida, las técnicas de apreciación del riesgo que ésta utilizará. Es por eso que entre las numerosas técnicas que propone ISO 31010, debemos utilizar la que se adecue con nuestros propósitos y posibilidades, cada una con sus ventajas o inconvenientes.
Para una organización sin experiencia previa en la apreciación de sus riesgos, puede ser conveniente utilizar una técnica que nos proporcione un primer nivel de aproximación de nuestros riesgos, la cual nos permita gestionar los mismos. Ejemplos de esta filosofía pueden ser las técnicas como “Tormenta de ideas” o Entrevistas con los responsables de las distintas áreas, fáciles y rápidas de implementar pero que necesitan que los participantes cuenten con una dilatada experiencia en el área para una consecución satisfactoria, apoyándose primordialmente en el factor humano.
Por el contrario, en una organización que cuente con un notable nivel de madurez puede ser conveniente realizar la apreciación de una forma mucho más minuciosa, eliminando de manera sensible la incertidumbre y utilizando métodos estadísticos para ello, un ejemplo puede ser la técnica de simulación Montecarlo. Para aplicar esta técnica se realiza un modelo o algoritmo, cuya entrada serán números aleatorios, tomando distribuciones de probabilidad apropiadas, y su salida serán simulaciones del sistema que permitan modelar la frecuencia de una respuesta. Podemos utilizar esta técnica para determinar de manera más exacta que con las técnicas anteriores, la probabilidad de que se materialice un riesgo, o que la explotación de una vulnerabilidad traiga una consecuencia definida. Pese a las sustanciosas ventajas que pueda tener, nos encontramos con que una definición exacta del modelo requiere, además de experiencia del modelador del mismo, tiempo, sobre todo ante modelos grandes.
No obstante, en una organización de tamaño considerable, podría ser imprudente realizar una gestión de riesgos de manera manual, pues la complejidad seguramente lo impediría. Además en el caso en que una empresa utilice distintas metodologías (por los diferentes propósitos de los distintos departamentos) dificultaría en gran medida el análisis de riesgos, el plan o planes de tratamiento pertinentes y la obtención de los distintos indicadores para la mejora continua que propone la norma.

 

Por esa razón, desde Audisec proponemos una solución a esta problemática mediante la herramienta GlobalSUITE – Risk Management facilitando las labores anteriormente comentadas. En GlobalSUITE – Risk Management será posible llevar la apreciación del riesgo aplicando distintas metodologías, satisfaciendo así las necesidades de los distintos departamentos. Además, se podrán gestionar distintos planes de tratamiento de riesgo dependiendo de diferentes análisis, todo ello aprovechando los recursos invertidos por los distintos departamentos, centralizando así el esfuerzo.
Por otra parte, GlobalSUITE Risk Management es una herramienta que forma parte de un sistema de gestión integral, que es GlobalSUITE. De esta manera, ante la adopción de otros estándares se encontrarán todos los esfuerzos centralizados, se tratará de un proceso incremental y su mantenimiento será óptimo. Además, mediante el módulo GlobalSUITE – Balanced ScoreCard la alta dirección obtendrá una visión global del estado de su sistema de gestión, junto con todos los elementos que lo componen, estando alineados éstos con los objetivos de la misma y posibilitando la detección temprana de desviaciones.