Resumen de la ISO 31000 para la Gestión de Riesgos. El estándar más conocido.
La ISO 31000 es una norma internacional cuyo objetivo es la gestión del riesgo. Al suministrar los elementos integrales y orientaciones, esta norma es de bastante utilidad y a las organizaciones con sus análisis y evaluaciones de riesgos.
Lo inesperado se ha ido volviendo común. Solo hay que recordar el ataque del 11 de septiembre, el surgimiento de ISIS, la llegada del SARS COVID, entre otros. Entonces podemos afirmar que el riesgo es un amigo cercano y que a veces se usa como sinónimo de incertidumbre.
Las organizaciones conforme a su actividad económica, cuentan con una serie de procesos que generan valor dentro de la organización. Estos elementos se pueden ver afectados por diferentes riesgos a los cuales se puede asociar una probabilidad de afectación del mismo. De ahí que deben ser analizados y para ello se puede contar con metodologías de Gestión de Riesgos que nos permiten realizar análisis de los mismos con el fin de aterrizar las posibles afectaciones que puedan impactar en los procesos.
La implementación de un sistema de riesgos, nace del desafío por parte de las organizaciones sin importar su tamaño o actividad económica, de mejorar su rendimiento y productividad, reducir al máximo sus pérdidas en escenarios de siniestralidad.
Un software ERM, Enterprise Risk Management, por sus siglas en inglés, es un programa de gestión de riesgos empresariales. El estándar NIST.IR.8286 define al ERM como un enfoque eficaz de toda la agencia para abordar el espectro completo de los riesgos significativos de la organización al comprender el impacto combinado de los riesgos como una cartera interrelacionada, en lugar de abordar los riesgos solo dentro de los silos.
Uno de los elementos que genera mayor valor dentro de las organizaciones es la forma como se desarrollan sus procesos, más sin embargo se sabe que la gestión de los mismos conlleva a asumir riesgos.
Un marco de trabajo para seguridad de la información es, en pocas palabras, un compendio de normas (estándares), directrices, documentos y requisitos que sirven para definir las políticas, procedimientos y procesos en los que se afianzará la organización para prevenir los incidentes de seguridad de la información, detectar y gestionar riesgos, crear controles, monitorearlos para determinar su eficacia, y, en primera instancia, preservar la seguridad de la información de forma efectiva. Esto se conoce como una matriz de riesgos.
Para conocer las etapas del proceso lo primero que debemos conocer es ¿Qué es el riesgo operativo?, el riesgo operativo es un riesgo que persiste en toda organización como resultado de sus operaciones y actividades que pueden estar involucradas por factores internos, externos, de recursos humanos y tecnológicos que, al ser materializados, pueden generar pérdidas económicas. Estos pueden ser producidos entonces por errores de factor humano, pérdidas significativas para las organizaciones, fallas tecnológicas y mecánicas, obsolescencia de las herramientas ofimáticas, diseño productivo ineficiente, producido por las malas estrategias. Vamos a ver cómo realizar una gestión de riesgos corporativos eficiente.
Cuando hablamos de la lista para gestionar riesgos operativos, nos referimos a que el riesgo operativo es la eventualidad que tiene toda organización de sufrir daños de tipo financiero por diferentes motivos. Para mitigar este tipo de sucesos lo recomendado es llevar a la organización una gestión por medio de la lista de riesgos operativos para poner en marcha la implementación de un Sistema de Gestión de Riesgos bajo la norma ISO 31000.