Riesgos

ISO 31010 y apreciación del riesgo

🕑 5 minutos de lectura

La apreciación del riesgo según la ISO 31010

¿Cómo puedo identificar los riesgos de mi organización de manera conveniente? ¿Qué debo tener en cuenta al realizar dicha labor? ¿De qué manera puedo ponderar los riesgos de una organización? ¿Debo estimarlos o debo medirlos de manera exacta? Muchas de estas cuestiones surgen a diario en las empresas debido a la búsqueda continua de mejora de su competitividad que permita dar el “paso de madurez” que posiciona a las organizaciones en el mercado.

Este artículo no pretende ser la solución categórica a estas cuestiones, pero sí tratará la normativa asociada, proponiendo algunos factores y directrices que ayuden a solucionar de manera conveniente estas preguntas.

lupa_negocios

Las cuestiones que propone la ISO 31010

En 2019 ha sido aprobada la segunda versión de la ISO/IEC 31010 Gestión de riesgos – Técnicas de evaluación de riesgos, cuyo cambio más notable es la ampliación de las técnicas descritas para la apreciación del riesgo en las organizaciones y la aplicación de las mismas. Estas técnicas se muestran en los anexos de la norma, siendo el “Anexo A” el de la clasificación de las técnicas de apreciación de riesgos, mientras que el “Anexo B” las describe. Además, a lo largo de esta norma, se hace alusión a otros documentos en los que se describen estas técnicas con mayor especificación. Otra modificación en la normativa vigente es el mayor nivel de detalle de procesos de planificación, implementación, verificación y validación.

Esta normativa no es un estándar certificable, se trata de una herramienta metodológica que propone una serie de cuestiones a tener en cuenta en el proceso de evaluación del riesgo.

Las técnicas descritas se pueden utilizar en diversos entornos, siendo este estándar un documento introductorio a las técnicas, para las que compara sus posibles aplicaciones, beneficios y limitaciones, referenciando a otras fuentes para mayor información.

Para aplicar dichas técnicas, antes debemos reflexionar sobre los riesgos de la empresa y esto se hace a través de la incertidumbre negativa que podamos detectar en el negocio. Es decir, todo aquel posible impacto potencial para la compañía, supone un riesgo que debe ser identificado para su posterior evaluación. Estos riesgos pueden ser eventos potenciales. Un evento puede tener múltiples causas y consecuencias. Las técnicas de evaluación de riesgos tienen como objetivo ayudar a entender la incertidumbre y el riesgo asociado.

La detección de riesgos debe considerarse entendiendo todos los factores que afectan a la empresa: organizativos, sociales y ambientales. Además, es fundamental establecer el alcance y el tipo de riesgos que se consideran tolerables, siendo determinantes los recursos disponibles y la comunicación entre las partes internas y externas.

Por último, será un factor determinante para el éxito de la evaluación de riesgos los métodos y técnicas utilizadas para la apreciación del riesgo, que comprenden la identificación de los mismos, el análisis de estos y su posterior evaluación. La forma en la que se evalúa el riesgo depende de la complejidad y novedad de la situación, y del nivel de conocimiento y comprensión relevantes. Entre las numerosas técnicas que propone ISO 31010, debemos utilizar la que se adecue con nuestros propósitos y posibilidades, cada una con sus ventajas o inconvenientes.

Para una primera evaluación de riesgos o una organización sin experiencia previa en la apreciación de sus riesgos, puede ser conveniente utilizar una técnica que nos proporcione un primer nivel de aproximación de nuestros riesgos, la cual nos permita gestionar los mismos. Ejemplos de esta filosofía pueden ser las técnicas como “tormenta de ideas” o entrevistas con los responsables de las distintas áreas. Ambas son fáciles y rápidas de implementar y tan sólo requieren que los participantes cuenten con una dilatada experiencia en el área para una consecución satisfactoria, apoyándose primordialmente en el factor humano.

Sin embargo, una organización que cuente con un notable nivel de madurez puede ser conveniente realizar la apreciación de una forma mucho más minuciosa para determinar de manera más exacta la probabilidad de que se materialice un riesgo. Un ejemplo puede ser la técnica de simulación Montecarlo que emplea un modelo o algoritmo, cuya entrada serán números aleatorios, tomando distribuciones de probabilidad apropiadas, y su salida serán simulaciones del sistema que permiten modelar la frecuencia de una respuesta. Podemos utilizar esta técnica para determinar de manera más exacta que con las técnicas anteriores, la probabilidad de que se materialice un riesgo, o que la explotación de una vulnerabilidad traiga una consecuencia definida. Pese a las sustanciosas ventajas que pueda tener, debemos tener en cuenta sus requerimientos (la experiencia del modelador en gestión de riesgos y el tiempo de ejecución), sobre todo ante modelos grandes.

cuerda floja

Deben tenerse en cuenta los posibles contratiempos, como por ejemplo, en una organización de tamaño considerable, podría ser imprudente realizar una gestión de riesgos de manera manual, pues la complejidad seguramente lo impediría. Además en el caso en que una empresa utilice distintas metodologías (por los diferentes propósitos de los distintos departamentos) dificultaría en gran medida el análisis de riesgos, el plan o planes de tratamiento pertinentes y la obtención de los distintos indicadores para la mejora continua que propone la norma.

Desde GSS proponemos una solución a esta problemática mediante la herramienta GlobalSuite® facilitando las labores anteriormente comentadas. Con GlobalSuite® Risk Management será posible llevar la apreciación del riesgo aplicando distintas metodologías, satisfaciendo así las necesidades de los distintos departamentos. Además, se podrán gestionar distintos planes de tratamiento de riesgo dependiendo de diferentes análisis, todo ello aprovechando los recursos invertidos por los distintos departamentos, centralizando así el esfuerzo. Además, mediante el módulo GlobalSuite Balanced ScoreCard la alta dirección obtendrá una visión global del estado de su sistema de gestión, junto con todos los elementos que lo componen, estando alineados éstos con los objetivos de la misma y posibilitando la detección temprana de desviaciones.