Los procesos en la gestión del riesgos con ISO 31010

Gestión de riesgos

Como hemos hablado en artículos anteriores, los componentes del estándar ISO 31000:2018 son los principios, marco de referencia, procesos y técnicas

Los procesos se llevan a cabo por medio de un conjunto de técnicas, las cuales están descritas en la norma ISO 31010 cuya última versión es del año 2019.  Esto es diferente a una Gestión Integral de Riesgos, en la que habrá que trabajar con múltiples metodologías.

Esta norma está centrada en el componente procesos y proporciona un conjunto de técnicas para poder llevar a cabo estos procesos a través de metodologías reconocidas por el organismo internacional de normalización ISO.

Analizar los elementos del proceso de gestión de riesgos, nos va a permitir generar una herramienta metodológica. En primer lugar, hay que establecer un alcance y un contexto, el cual nos permite generar unos criterios que se establecen en la política de riesgo. Esta política determina cuando aceptar, hasta donde tolerar o cuál es el apetito del riesgo. Por ejemplo, en la política quedarían establecidos cuales son los recursos que vamos a emplear para la gestión de los riesgos, los planes de tratamiento y los controles.

Tras definir este aspecto estratégico, nos centramos en la evaluación del riesgo. Esta etapa corresponde a lo que denominamos la matriz del riesgo, donde tenemos un conjunto de datos los cuales se pueden relacionar para que por medio de unas operaciones matemáticas, podamos obtener los resultados que nos permitan priorizar sobre cuáles son los riesgos que tienen mayor nivel de probabilidad e impacto, por lo que nos pueden afectar más que otros en la organización.

Este proceso tiene unas entradas que son la comunicación y consulta. También tiene unas salidas, un registro e informe, que es el producto de que se haga un seguimiento y revisión por medio del uso de los KRI´s (indicadores de riesgos clave). Serían los mismo indicadores que conocemos comúnmente sobre el desempeño de los procesos pero en este caso sujeto a lo que son los riesgos.

Por ejemplo, la relación que tenemos de riesgo residual vs el riesgo inherente. Si nosotros tenemos acciones de tratamientos eficaces, quiere decir que esa relación va a ir en disminución, es decir, los riesgos residuales van a ser menores que los riesgos inherentes. Por lo tanto, ese porcentaje si lo multiplicamos por 100 en una operación matemática, debería ir bajando en función a la eficacia que tiene nuestros planes de tratamiento de riesgos.

Como ya hemos mencionado, el proceso se compone de cuatro etapas, a continuación vamos  a hablar sobre ellas.

Comunicación y consulta

La comunicación es necesaria para la toma de conciencia y la comprensión del riesgo. Las personas dentro de las organizaciones deben ser conscientes de los riesgos y comprende que estos no son algo abstracto, son algo real.

La consulta es para poder utilizar los canales de comunicación adecuados para poder obtener la información con mayor precisión para la toma de decisiones .

Estos dos componentes nos van a permitir encauzar el proceso, el cual inicia con el alcance, el contexto y los criterios.

Procesos

Entrando en materia de riesgo, inicia con el alcance, el contexto y los criterios. En cuanto a la definición de alcance, vamos a ver qué tipo de riesgos son los que nos interesa revisar, en qué procesos y en qué ubicaciones geográficas. Con respecto al contexto, debemos analizar lo que son los factores internos y externos. En cuanto a factores internos, debemos revisar lo que es la competencia, la tecnología, la cantidad de documentación con la que contamos, la calidad de la documentación o los criterios de aceptación o rechazo. En relación a los factores externos como los políticos, los ambientales, los sociales, tecnológicos y los legales.

Haciendo referencia a la definición de criterios, nos lleva a que una vez que tengamos toda esta información, hay que configurar una política de gestión de riesgos, la cual nos permita actuar de forma concreta en las técnicas a implementar para poder hacer una adecuada valoración del riesgo y en consecuencia, su tratamiento.

Las dos variables principales son la probabilidad y la consecuencia. Hay que ver que sus operaciones matemáticas no son simples, se trata de operaciones en las que se combinan vectores, por lo que el resultado es un riesgo.

Las etapas del core del proceso de riesgo, son:

• Identificación del riesgo: tiene que ver con los procesos, actividades y la conceptualización de ese riesgo.
• Análisis de riesgos: donde se habla de las causas, el efecto y los controles que tenemos por defecto, ya que la organización tiene unos controles preestablecidos desde que se concibe como organización.
• Valoración del riesgo: en la cual se combina la probabilidad y el impacto, el cual nos va a dar un resultado, lo cual nos lleva a la priorización de los riesgos y nos genera un seguimiento.

Seguimiento y revisión

El seguimiento y la revisión se realiza para asegurar, mejorar la calidad y la eficacia del diseño, la implementación y los resultados del proceso. Requiere que haya responsables definidos perfectamente y ejecutarlo en todas las etapas del proceso.

Registro e informe

El registro e informe nos permite comunicar las actividades de gestión del riesgo y sus resultados. También nos permite proporcionar información para realizar una adecuada toma de decisiones, lo que conlleva una mejora en las actividades de la gestión del riesgo.

IEC 31010: 2019. Gestión de Riesgos: Técnicas de Evaluación de Riesgos

Ahora vamos a ver cómo hacemos uso de la 31010, ya que nos da las directrices sobre:

• Técnicas para analizar y valorar la eficacia de los controles. En cuanto al grado o el alcance de esos controles para mitigar los riesgos.
• Técnicas para comprender las consecuencias y la probabilidad. Es muy importante porque se puede tener una ponderación simple como alta, media o baja, pero es necesario saber cuales serían los factores que me permitirían pasar por ejemplo, de una probabilidad alta a baja.
• Técnicas para analizar la dependencias e interacciones. En la ISO 31010 se habla de cómo gestionar las combinación de riesgos.
• Técnicas para medir (cuantificar) el riesgo. Al hablar de probabilidad por impacto, estamos hablando de vectores, por lo tanto la relación que deben tener estos son por medio de operaciones de vectores o en todo caso, operaciones matriciales.
• Técnicas para registrar y reportar. Tratan sobre el modo en el que se va a entregar la información, qué clase de información, si es útil los mapas de calor.
• Técnicas para seleccionar entre alternativas. Considerando la mejor opción.
• Técnicas para evaluar la relevancia del riesgo. Son las que se emplean cuando un riesgo aunque esté tratado y permanece.
• Técnicas para identificar causas, orígenes y fuerzas impulsoras del riesgo. Estas técnicas analizan cuales son las fuentes de los riesgos y qué es lo que hace que un riesgo se dispare o se materialice,
• Técnicas para identificar riesgos. Hacen referencia a las que indican de dónde se va a sacar esa información para la identificación del riesgo.
• Técnicas para la obtención de perspectiva (visualización). Para determinar cómo tener una perspectiva desde los diferentes tipos de riesgo que existen dentro de las organizaciones.

Software para la gestión de riesgos

ISOTools, el software para la gestión de riesgos, facilita la identificación y administración de los riesgos que están presentes en la organización, permitiendo su gestión de forma integrada.

La automatización de la gestión de riesgos a través de un software como ISOTools, permite identificar visualmente los riesgos prioritarios. Así es posible tomar mejores decisiones ya que podrá consultar toda la información de forma visual en mapas de calor e informes personalizados.