miércoles, 30 de abril de 2025

9 ESTRATEGIAS PARA LA GESTIÓN DE RIESGOS ESENCIALES

Las organizaciones implementan estrategias para la gestión de riesgos para proteger sus activos, su capital humano y su capacidad para operar, así como para fortalecer su estructura, prepararla para enfrentar eventos disruptivos y prevenir riesgos empresariales.

Las estrategias para la gestión de riesgos son, por ello, esenciales para el crecimiento de la organización. Siempre es mejor tenerlas y no necesitarlas, que necesitarlas y no tenerlas.

En un mundo cada más tecnológico y globalizado, las amenazas y eventualidades se diversifican y es necesario saber cómo enfrentarse a ellas con éxito. A continuación, repasamos nueve estrategias para la gestión de riesgos esenciales probadas y utilizadas por organizaciones exitosas.

Cuáles son las 9 estrategias para la gestión de riesgos esenciales?

Las estrategias para la gestión de riesgos que se enumeran a continuación se han diseñado para funcionar en todas las áreas o encajar dentro de una gestión integral. El objetivo esencial es hacer de la organización una entidad fuerte, resiliente, con capacidad para alcanzar elevados niveles de seguridad.

1. Identificar riesgos antes de que causen daño

Adelantarse a las amenazas siempre será la estrategia más efectiva. Identificar riesgos emergentes o en etapa embrionaria aumenta las probabilidades de éxito y disminuye costes de gestión, además de que contribuye a crear una cultura de prevención sostenible. Para hacerlo, los especialistas acuden a diversas técnicas:

Lluvia de ideas: es la más utilizada. Es un tanto informal y no obedece a ninguna regla en particular. Se trata de reunir personas con conocimiento del área sobre la que se trabaja para que especulen sobre posibles escenarios de riesgos.

Análisis DAFO: es una metodología utilizada para identificar riesgos, pero también oportunidades, fortalezas y debilidades. Es una evaluación sobre áreas específicas que busca amenazas internas o externas de cualquier tipo.

Revisión de evaluaciones de riesgos anteriores en las que se mencionan eventos o circunstancias que, en ese momento se descartaron, pero podrían cobrar vigencia.

Experiencia de empresas de la misma industria resultan muy valiosas para la organización, que puede aprovechar sus acciones y estrategias para la gestión de riesgos.

2. Evaluar y analizar los riesgos

Todos los riesgos no son iguales y su clasificación se hace con base en información de calidad y metodologías probadas. Estas metodologías buscan establecer dos criterios básicos: la probabilidad de ocurrencia y la gravedad del impacto. En ambos casos existen métodos que expresan los resultados en términos diferentes:

Evaluación cualitativa: los resultados de una evaluación cualitativa se expresan en descripciones para dimensionar el nivel de probabilidad de que ocurra un riesgo o su gravedad. La simbología puede ser un tanto más abierta: muy bajo, bajo, medio bajo, medio, medio alto, alto o muy alto.

Evaluación cuantitativa: expresa los resultados en números que se obtienen con base en la aplicación de algoritmos o modelos matemáticos y estadísticos. Los resultados suelen ser indiscutibles y más acertados.

3. Priorizar los riesgos

Pocas organizaciones destinan recursos suficientes para prestar la misma atención a todas las eventualidades identificadas. El análisis de riesgos se hace para obtener un listado priorizado que permita asignar recursos a la gestión de los eventos que están en la parte alta de la lista, los que tienen alta probabilidad de ocurrencia y alto impacto negativo.

Con el avance de la gestión, los riesgos de la cabeza de la lista salen de ella porque han sido tratados, mientras que los otros suben. Es un modelo cíclico que hace que, eventualmente, todos los riesgos sean abordados.

4. Planificar las acciones de gestión

Es una fase clave en el desarrollo de las estrategias para la gestión de riesgos. Es el momento en el que se diseña un plan de gestión que busca, en primera instancia, eliminar el riesgo. Esas estrategias se mueven en cuatro ejes principales:

Eliminar el riesgo: es el gran objetivo, aunque no siempre sea posible. A veces porque el coste puede ser superior al que causaría la eventualidad, otras porque el riesgo no es tratable, no existe acción alguna que lo pueda eliminar.

Mitigar el riesgo: es la segunda opción. Ante la imposibilidad de eliminar una amenaza, se buscan mecanismos para la mitigación de riesgos esenciales y, así, minimizar el impacto negativo. Los terremotos son riesgos inevitables, pero existen decenas de acciones que pueden minimizar el impacto negativo.

Transferir el riesgo: una de las formas de hacerlo es tercerizando o subcontratando el proceso o la actividad que genera el riesgo, para que sea el tercero o el contratista el que lo asuma. Otra forma es contratar una póliza de seguros que cubra los efectos económicos consecuencia de la materialización del riesgo.

Aceptar o tolerar el riesgo: es lo que se hace generalmente con los riesgos operativos. Los riesgos que se retienen o aceptan son susceptibles de recibir acciones para disminuir la probabilidad de ocurrencia o mitigar los efectos, en caso de que ocurra.

5. Implementar controles de riesgo

Algunas de las acciones mencionadas en esas estrategias para la gestión de riesgos esenciales se clasifican como controles de riesgo. Estos actúan como barreras de protección, como escudos o salvaguardas. El objetivo esencial es reducir la probabilidad o reducir el impacto. Se clasifican de acuerdo con el tipo de amenaza sobre la que actuarán:

Financieros: exigir garantías eficaces para los préstamos, auditar a los socios o inversores, implementar indicadores de riesgo o contratar seguros para perdidas de fondos.

Operacionales: controles internos para monitorear procesos, auditar áreas, implementar procedimientos o protocolos de acción, etc.

De información o ciberseguridad: creación de perfiles con privilegios de acceso, prohibición de uso de dispositivos ajenos a la organización o establecimiento de protocolos de uso y acceso, entre otros.

De la cadena de suministro: gestionar riesgos de proveedores específicos, aumentar la lista de proveedores, planificar líneas de suministro alternativas, ejercer debida diligencia sobre los proveedores, etc.

6. Revisar y monitorear la gestión

Las estrategias para la gestión de riesgos pueden fallar o tener problemas. Esto es admisible, siempre que exista una estructura que permita advertirlo y adoptar las acciones correspondientes. Monitoreo y seguimiento continuos aseguran que la gestión alcance los objetivos propuestos.

Entre otras, las organizaciones utilizan auditorías, inspecciones, revisiones, pruebas de estrés, verificación de indicadores o KPIs para comprobar la eficacia de las anteriores estrategias para la gestión de riesgos y de los controles implementados.

7. Documentar, comunicar e informar

Las estrategias para la gestión de riesgos no estarían completas si no se documentan ni se comunican a todos los interesados. Tampoco lo estarían si no se producen los informes para tomar decisiones y los que conformarán la memoria histórica necesaria para facilitar el trabajo en el futuro y evitar cometer los mismos errores.

Es necesario comunicar información relacionada con riesgos a todos los afectados, directores de área involucrados o personas que tengan que participar en la implementación de una acción de gestión o un control. Los informes se destinan, en primera instancia, a la Alta Dirección, pero también los pueden recibir los encargados de áreas como seguridad y salud en el trabajo, seguridad de la información o cumplimiento.

8. Alinear la gestión con las obligaciones de cumplimiento

Todo lo que se haga para diseñar e implementar estrategias para la gestión de riesgos necesita ajustarse al marco regulatorio y legal bajo el que opera la organización. Algunas regulaciones son estatales, otras son internacionales, locales o propias de la industria. 

Lo importante es identificar todas las obligaciones y establecer si alguno de los controles o de las estrategias adoptadas traspasa el marco regulatorio.

9. Crear una cultura de gestión de riesgos

El éxito de las estrategias para la gestión de riesgos está directamente relacionado con el trabajo de las personas para implementarlas y ejecutarlas. Es la cultura empresarial el elemento que hace que los trabajadores acojan de forma proactiva esas estrategias.

La cultura es el resultado de varios elementos clave: liderazgo de la Alta Dirección, asignar funciones de manera estratégica, premiar a los que se esfuerzan y crear políticas claras y contundentes.

Para finalizar, las organizaciones que han implementado sistemas de gestión de riesgos automatizados encuentran mejores oportunidades para que sus estrategias en este campo alcancen los objetivos propuestos. Pero es necesario algo más, profesionales que cuenten con una formación adecuada.

Tomado de: https://www.escuelaeuropeaexcelencia.com


 

martes, 29 de abril de 2025

NORMA ISO 19601:2025 - NUEVA VERSIÓN Y SUS CAMBIOS PRINCIPALES

La nueva versión de la Norma UNE 19601:2025, publicada en el día de ayer, 24 de abril de 2025, introduce importantes actualizaciones para fortalecer los sistemas de gestión de compliance penal en las organizaciones. 

Estas modificaciones buscan alinear esta norma con las buenas prácticas internacionales y adaptarse a los últimos cambios normativos.​

Principales cambios en la UNE 19601:2025

1. Alineación con normas ISO: 
La norma actualizada armoniza sus requisitos con estándares internacionales como la ISO 37301:2021, clarificando las responsabilidades del órgano de gobierno y diferenciando entre actividades bajo su control directo y aquellas que debe impulsar sin garantizar su resultado final. ​

2. Distinción entre formación y toma de conciencia: 
Se separan conceptualmente las actividades de formación, dirigidas a capacitar a los miembros de la organización, de las de toma de conciencia, orientadas también a socios de negocio, para evitar confusiones y posibles interpretaciones erróneas.
 ​
3. Reubicación de la evaluación de riesgos: 
La evaluación de riesgos se traslada al Capítulo 4 “Contexto de la organización”, siguiendo la estructura de la ISO 37301:2021, para enfatizar su importancia en la planificación estratégica. ​

4. Adaptación a nuevas normativas: 
Se incorporan cambios derivados de la Directiva (UE) 2019/1937 sobre protección al informante y su transposición en España mediante la Ley 2/2023, así como del estándar ISO 37002:2021 sobre gestión de denuncias de irregularidades. 
5. Clarificación de requisitos: 
Se han reformulado algunos requisitos para mejorar su comprensión y utilidad, basándose en la experiencia acumulada durante los ocho años de implementación de la norma.

Estas actualizaciones refuerzan la cultura del cumplimiento en España, proporcionando a las organizaciones una mayor seguridad jurídica y una ventaja competitiva y reputacional.

Tomado de: https://isotools.org/
 

RIESGO CLIMÁTICO: ESTRATEGIAS PARA UNA GESTIÓN EFICAZ EN EL INCIERTO PANORAMA CLIMÁTICO ACTUAL

Gestionar el riesgo climático es una tarea que se suma, en un lugar prioritario, a la lista de actividades que abordan los especialistas en gestión ambiental en cualquier tipo de organización. 

Las empresas necesitan evaluar la exposición al riesgo climático y tomar decisiones que van desde la eliminación hasta la adaptación.

Responder al riesgo climático requiere desarrollar estrategias que se desarrollarán dentro de un panorama dominado por la incertidumbre. Es un desafío, pero es preciso afrontarlo. Las organizaciones que no destinen recursos a la gestión del cambio climático tendrán pocas oportunidades para asegurar su sostenibilidad en el tiempo.

Cómo gestionar el riesgo climático

Como en otras áreas de gestión de riesgos, la que atañe al riesgo climático necesita abordar los pasos rutinarios: identificación, evaluación, priorización, eliminación, mitigación, adaptación o aceptación.

El riesgo climático, por su origen y sus características, no suele aceptar estrategias de eliminación. Es por ello que, dentro de las estrategias que se plantean, se incluye la adaptación como una alternativa que no se evalúa en la gestión de otro tipo de amenazas.

La gestión del riesgo climático requiere que las organizaciones integren las consideraciones sobre el clima y el calentamiento global dentro de sus planes estratégicos. Pero las consideraciones sobre el clima necesitan ir un poco más allá: es necesario identificar y evaluar los riesgos en la cadena de suministro, en la percepción de los consumidores y en la calificación de los inversionistas.

Cuáles son los diferentes tipos de riesgo climático

El cambio climático o el calentamiento global son conceptos de fácil comprensión para la gran mayoría de los habitantes del planeta. En las organizaciones, no obstante, es preciso diferenciar entre uno u otro riesgo climático:

1. Riesgo físico

Se refiere al impacto negativo de fenómenos naturales que se ven exacerbados en su frecuencia y en su impacto por causa del calentamiento global: huracanes, tornados, inundaciones, incendios forestales, heladas u olas de calor.

2. Riesgo de transición

Para muchas organizaciones la estrategia más eficaz para enfrentar el cambio climático será sustituir fuentes de energía y de combustibles. Esto implica procesos de transición que representan riesgos, en especial cuando la única opción es renovar en su totalidad el aparato productivo.

3. Riesgos en la cadena de suministro

Uno de los desafíos más importante que enfrentan los expertos en gestión de riesgos al evaluar las amenazas de orden climático es la exposición que tiene la organización por causa de los riesgos a los que están expuestos sus eslabones remotos de la cadena de valor. Una inundación en Bangladesh podría detener la operación de una empresa en Birmingham, Inglaterra.

4. Riesgo financiero

La gestión del riesgo financiero implica tomar decisiones que generan nuevos riesgos de orden financiero, como la necesidad de renovar el aparato productivo. También hay un riesgo financiero emergente en el resultado de los informes de sostenibilidad, que pueden indicar que el coste de la gestión ambiental es tan alto que amenaza la estabilidad financiera, con la consecuente pérdida de confianza de los inversionistas.

Qué papel desempeña la adaptación en la gestión del riesgo climático

La gestión del riesgo climático, al igual que la que se desarrolla en otras áreas, se inicia con la identificación de los riesgos y las oportunidades que se asocian al cambio climático. En esta etapa es bueno contar con la participación de expertos internos o consultores externos.

Al avanzar la tarea será posible percibir que las opciones de eliminación son escasas o nulas. La mitigación del impacto, que no de la probabilidad, será la constante para la mayoría de los riesgos. Otros, no obstante, requerirán trabajar con ahínco en la adaptación.

Después de la mitigación, o a la par, la adaptación será la mejor alternativa para desarrollar resiliencia ante el riesgo climático. No se limita a tomar medidas para soportar el impacto negativo. Se trata, además, de reducir el impacto y anticiparse a la creación de entornos de trabajo eficientes y productivos bajo nuevas condiciones ambientales.

Adaptarse no es lo mismo que tolerar. La adaptación implica considerar un nuevo entorno como una nueva realidad y, en consecuencia, asumir nuevos hábitos de vida y nuevas formas de producción.

¿Las normas ISO pueden contribuir a enfrentar el riesgo climático?

La Organización Internacional de Estandarización ha desarrollado, bajo el rango de nomenclatura 14000, una serie de Normas ISO que ayudan a las organizaciones a tratar con éxito el riesgo climático. En estos estándares se concentran las mejores prácticas para evaluar, mitigar o adaptarse al cambio climático. Las más relevantes, a continuación:

1. ISO 14090:2019

La norma incluye directrices para la gestión de la adaptación al cambio climático, evaluación de riesgos y vulnerabilidades, así como desarrollo de estrategias de adaptación y actividades de monitoreo y seguimiento de la efectividad de esas estrategias.

2. ISO 14091:2021

Este estándar se enfoca en la evaluación de vulnerabilidades de los activos de la organización, sus sistemas de comunicaciones y la comunidad en la que opera. La norma entrega un enfoque sistemático para tomar las mejores decisiones y asignar recursos de forma responsable y efectiva.

3. ISO 14080:2018

La norma se enfoca en uno de los aspectos ambientales que más preocupan, especialmente a las organizaciones que fabrican, producen o transforman bienes: las emisiones de gases de efecto invernadero y las actividades que las generan. La norma proporciona orientaciones para medir, verificar, evaluar riesgos y tomar medidas apropiadas para mejorar los indicadores de emisiones.

4. ISO 31000:2018

El estándar más reconocido por su efectividad para los sistemas de gestión de riesgos, aunque no pertenece a la serie 14000, se ubica como uno de los más relevantes para la gestión del riesgo climático. El estándar, no certificable, entrega una guía sistemática para mejorar la capacidad de la organización para identificar, evaluar y gestionar todos los riesgos, incluidos los ambientales.

5. ISO 14001:2015

El estándar para sistemas de gestión ambiental se incluye en el quinto lugar de esta lista, aunque tendría que ocupar el primero. Se trata de una norma que ha demostrado su efectividad en miles de organizaciones alrededor del mundo y cuya certificación no admite discusión en ningún espacio comercial o geográfico.

 Evalúa la capacidad que tienen estas estrategias para     gestionar con éxito el #RiesgoClimático en un panorama tan     incierto como el actual.

Cómo implementar las normas ISO para gestionar el riesgo climático

En cuanto a las formalidades y generalidades, las organizaciones siguen el procedimiento estandarizado para la implementación de normas ISO, que se inicia con un análisis de brechas y concluye con la certificación, en los casos en los que esto es posible.

La parte medular, que hace diferentes a los estándares ISO que resultan útiles para la gestión del riesgo climático, requiere los siguientes pasos:

  • Identificar los riesgos climáticos tratando de no dejar ninguno posible, por improbable o de bajo impacto que parezca. Considerar, incluso, los riesgos climáticos que no tengan un impacto directo, pero sí consecuencias financieras para la organización.
  • Categorizar y priorizar los riesgos, con base en la probabilidad de ocurrencia y la gravedad del impacto negativo.
  • Diseñar estrategias de mitigación y, de ser posible, eliminación. Los riesgos climáticos, por su condición, admiten pocas estrategias de eliminación. En cuanto a la mitigación, es necesario confrontar el coste de la estrategia con respecto al coste de la ocurrencia del evento negativo.
  • Desarrollar estrategias de adaptación para los riesgos que no admiten ningún tipo de tratamiento.
  • Integrar los aspectos relacionados con el cambio climático en todos los planes, en las estrategias de la empresa y, en general, en todas las decisiones que se tomen.
  • Revisar, inspeccionar y monitorear la efectividad de las estrategias implementadas, actualizándolas cuando sea necesario o cuando los indicadores demuestren que no están cumpliendo con los objetivos.
  • Producir los informes de gestión, que pueden ser los mismos de auditoría, o los informes de sostenibilidad voluntarios u obligatorios, de acuerdo con la normativa que aplique para la organización.
  • Implementar acciones para asegurar la mejora continua y reiniciar el ciclo, de acuerdo con un modelo de gestión basado en el modelo PDCA que, de paso, asegura la conformidad con los requisitos sobre mejora continua de todos los estándares ISO.
Qué estrategias se pueden implementar para gestionar el riesgo climático con efectividad?

Estandarizar la gestión con base en normas ISO es ya un gran avance en el propósito de gestionar el riesgo climático. Como estrategias complementarias eficientes, se puede pensar en:

1. Invertir en estructuras adaptadas a las nuevas condiciones climáticas

Las organizaciones necesitan construir estructuras adaptadas a las nuevas condiciones extremas de temperatura, altas o bajas, o para resistir el embate de fenómenos naturales como tornados, huracanes, inundaciQué estrategias se pueden implementar para gestionar el riesgo climático con efectividad

Estandarizar la gestión con base en normas ISO es ya un gran avance en el propósito de gestionar el riesgo climático. Como estrategias complementarias eficientes, se puede pensar en:

ones o incendios. Estos edificios incorporan sistemas de generación autónoma de energía, reduciendo la dependencia externa en caso de emergencias o de situaciones adversas durante periodos de tiempo largos.

2. Buscar alternativas en la cadena de suministro

El objetivo esencial, en la diversificación de la cadena de suministro no es el número de alternativas. Es la diversidad de ubicaciones geográficas y la capacidad que tengan algunos de esos nuevos eslabones para gestionar sus riesgos climáticos, aunque también es necesario considerar el número y la calidad de las opciones de transporte de las que dispongan los proveedores.

3. Incorporar la gestión del riesgo climático en la toma de decisiones

Especialmente en las relacionadas con inversión. Canalizar dinero hacia proyectos en los que se gestionan los riesgos ambientales y climáticos aumenta de forma exponencial la posibilidad de obtener rentabilidad, protegiendo así el patrimonio de la empresa y el dinero de los accionistas.

4. Integrar la sostenibilidad como estrategia en todos los niveles

Integrar la sostenibilidad como estrategia es una forma de tratar los riesgos climáticos, pero también de mejorar indicadores que pueden ser requisitos regulatorios, como la disminución de la huella ambiental o la mejora de la eficiencia energética.

5. Compartir los riesgos o transferirlos

La adecuada gestión de los riesgos climáticos indicará que el trabajo para mitigar algunos de ellos, o incluso el de adaptación, pueden resultar muy costosos, afectando los indicadores financieros, con las consecuencias que ello implica. Este tipo de riesgos pueden ser compartidos o transferidos. Compartirlos requiere tomar una póliza de seguros. Transferirlos, entregar el proceso que implica el riesgo a un tercero.

Tomado de: https://www.escuelaeuropeaexcelencia.com/

lunes, 28 de abril de 2025

TOLERANCIA AL RIESGO: QUÉ ES, POR QUÉ ES IMPORTANTE Y CÓMO DETERMINARLA

En un escenario tan dinámico como es el empresarial, entender qué es la tolerancia al riesgo resulta esencial. Es un aspecto que los especialistas en gestión de riesgos necesitan abordar para conseguir que sus organizaciones puedan navegar sin dificultades en un mercado complejo.

Muchas de las empresas emergentes que no logran afianzarse tienen un elemento común: el desconocimiento del concepto de tolerancia al riesgo. Si prescindir de cualquier tipo de gestión de riesgos es arriesgado, lo es mucho más realizar esa gestión sin medir o establecer un nivel de tolerancia al riesgo real y coherente con el contexto de la organización, su operación y sus objetivos comerciales, entre otros criterios.

Qué es la tolerancia al riesgo

La tolerancia al riesgo es el nivel máximo de desviación o de incertidumbre que puede soportar la organización con respecto al apetito de riesgo ya definido. Puede parecer que apetito y tolerancia son sinónimos, pero no es así:

El apetito es el nivel de riesgo que la organización está dispuesta a aceptar. Es un nivel que establece el equipo encargado de la gestión de acuerdo con diferentes criterios, siendo el más importante la oportunidad que se puede aprovechar al aceptar el nivel de riesgo.

La tolerancia al riesgo se podría definir como un nivel superior de riesgo sobre el ya determinado como apetito.

Surge entonces una pregunta: ¿para qué subir la escala de riesgo si ya se ha determinado que hay un punto de relativa seguridad? Para responder, es preciso enmarcar la tolerancia al riesgo dentro del terreno de las decisiones financieras o de inversión. En el mundo financiero, las decisiones acertadas en un momento pueden no serlo en otro. Cotizaciones de divisas, valores de acciones, inflación, deflación o tasas de interés son indicadores que tienen la capacidad de modificar una estrategia financiera o una decisión de inversión.

En marcos tan volátiles, la definición del apetito de riesgo puede ser relativamente estática. Pero los tomadores de decisiones necesitan otra escala para medir el riesgo aceptable para tomar una decisión inmediata, basada en criterios que probablemente no perduren más allá de una semana, o acaso dos o tres días.

Factores que influyen la determinación de la tolerancia al riesgo

Tolerancia al riesgo es un concepto con una complejidad derivada del escenario en el que se utiliza: el área de finanzas e inversiones. La mejor forma para entenderlo es desglosando, aunque de forma somera, los factores que lo influencian:

1. Situación financiera de la organización

La situación financiera, o el estado del balance patrimonial en términos contables, determinan el nivel hasta el que puede subir la tolerancia. Una organización que muestra ingresos al alza, disminución de costes, pocos pasivos y activos de gran valor, liquidez suficiente y reservas patrimoniales cuantiosas está preparada para aceptar un nivel de tolerancia alto.

2. Estrategias de negocios

Los proyectos ambiciosos, por lo general, impulsan un alza del nivel de tolerancia hacia los riesgos y amenazas. Es el caso de los proyectos de incursión en nuevos mercados, el desarrollo de productos innovadores, las alianzas y fusiones o la compra hostil de otra organización.

3. Tendencias de la industria

Algunas industrias se caracterizan por una vertiginosa evolución, como ocurre en comunicaciones, electrónica, internet o automoción. Por supuesto, en estas empresas no hay mucho margen para la acción y cualquier cambio en las tendencias genera la necesidad de subir la graduación de tolerancia al riesgo.

4. Cambios regulatorios

Si los requisitos regulatorios cambian, surge una afectación a la estrategia comercial que requiere pensar en modificar la tolerancia al riesgo. En este caso, la decisión puede ser hacia arriba o hacia abajo. Eventualmente, el cambio regulatorio puede favorecer a la organización y llevarla a revisar su nivel de tolerancia para disminuirlo.

5. Necesidades de las partes interesadas

Algunas partes interesadas pueden manifestar requisitos, necesidades o expectativas que obligan a determinar un nivel de tolerancia superior. Si los inversores o los socios presionan para obtener mejores resultados financieros, pueden tomar decisiones más arriesgadas para cumplir con los requerimientos de esas partes interesadas.

Por qué es necesario definir el nivel de tolerancia al riesgo

Si se comprende qué es la tolerancia al riesgo y cómo se establece, no parece lógico que la organización tenga ese indicador definido en todo momento, ya que lo importante es hacerlo en el momento necesario, y de acuerdo con el contexto y las condiciones imperantes.

Gestionar la tolerancia al riesgo, como requisito para la toma de decisiones informadas y estratégicas, en especial cuando estas son de índole financiera, aporta innegables beneficios a la organización:

Genera alineamiento estratégico, que es la coherencia entre las decisiones financieras y de inversión con los objetivos de negocio de la organización.

Hace que la asignación de recursos financieros sea eficiente, ya que se evalúa la oportunidad que representa una inversión sobre la base de indicadores de riesgo actuales, definiendo cuál es el riesgo y hasta qué punto está preparada la organización para soportarlo.

Incrementa la ventaja competitiva: la organización toma decisiones informadas, inteligentes, pero, sobre todo, entendiendo que tiene un nivel de tolerancia al impacto negativo que probablemente no tengan sus competidores.

Aumenta la credibilidad y confianza en los socios y los inversores, que perciben un nivel de madurez en la gestión de riesgos. Esta credibilidad repercute en la reputación de la empresa y aumenta el valor de la marca.

Promueve el crecimiento sostenido porque, aun cuando en algunas ocasiones sea preciso absorber el impacto de la ocurrencia de un riesgo, en general el resultado será un rendimiento financiero equilibrado que produce rentabilidad como constante en los estados financieros

Cómo se establece el nivel de tolerancia al riesgo

En el proceso, la inmediatez es importante. Hay que contar con la información y los datos en todo momento, y que estos sean accesibles. Las organizaciones que automatizan y digitalizan sus sistemas de gestión de riesgos tienen mayores oportunidades de entregar resultados precisos. Los pasos son los siguientes:

1. Evaluar los objetivos o las razones para tomar una decisión

Un proyecto de expansión, aceptar una fusión, entrar en un nuevo mercado o vender una línea de producto a otra organización son decisiones que requieren evaluar el nivel de tolerancia al riesgo que implican y que influyen en los siguientes pasos del proceso.

2. Comprender los riesgos asociados

Para establecer la tolerancia al riesgo es preciso conocer y entender el tipo de riesgo y sus características: ¿El impacto será financiero o tendrá repercusiones legales y reputacionales? ¿De qué magnitud puede ser el impacto?

3. Considerar el tiempo de exposición

Es necesario determinar el periodo de tiempo que la empresa tendrá que tolerar un nivel de riesgo excepcional. Periodos de tiempo demasiado largos podrían obligar a declinar el negocio y preferir la seguridad.

4. Evaluar la posición financiera de la organización

Para tolerar el riesgo, es preciso que la organización exhiba una sólida y fuerte salud financiera. Cualquier deficiencia, como falta de liquidez, podría inclinar la balanza hacia una abstención.

5. Definir el contexto de la organización

El contexto de la organización lo definen las condiciones del mercado, los indicadores macroeconómicos, la estabilidad económica y social del país e, incluso, situaciones particulares como la inminencia de una huelga o el descontento generalizado de la comunidad en la que opera la empresa.

6. Utilizar metodologías específicas para determinar la tolerancia al riesgo

El concepto de tolerancia al riesgo no es nuevo. Por eso, existen metodologías probadas para este propósito. Aunque las plataformas tecnológicas pueden incorporar esas herramientas, siempre será aconsejable contar con un profesional experto en Gestión de Riesgos que domine el tema con la suficiente autoridad académica.

7. Evaluar la resistencia real de la tolerancia

Sobre el papel, la tolerancia definida puede ser adecuada. Pero este resultado aún debe resistir otro análisis: se trata de someter el nivel de tolerancia a posibles situaciones extremas para tratar de predecir su comportamiento.

8. Evaluar opciones de diversificación

El riesgo se puede mitigar acudiendo a la vieja estrategia de diversificar. Si es posible, se puede pensar en inversiones en diferentes naciones o en diferentes industrias.

9. Recibir consejos financieros

La tolerancia al riesgo es una evaluación de carácter financiero. Así, lo más apropiado es contar con asesoría de los expertos, particularmente de quienes conocen la situación del lugar de destino de la inversión.

10. Revisar y ajustar

En decisiones a largo plazo es prudente programar revisiones y ajustes de la tolerancia al riesgo en periodos de tiempo razonables. Se trata de verificar que persisten las condiciones originales, que se están alcanzando los objetivos y que el nivel de conformidad y comodidad es aceptable.

Qué es el proceso bidimensional de evaluación de tolerancia al riesgo?

El proceso bidimensional ofrece un enfoque integral, holístico, que permite obtener una comprensión mucho más precisa de los elementos, incluyendo los factores cualitativos, que no se tienen en cuenta en el proceso descrito en el apartado anterior. Básicamente, el proceso bidimensional considera dos tipos de evaluación:

  • Evaluación financiera: toma en cuenta los indicadores y métricas considerados de forma habitual en el proceso anterior, como liquidez, rentabilidad, valor de los activos, nivel de ingresos y su estabilidad, etc.
  • Evaluación psicológica: evalúa la percepción de las partes interesadas, de los evaluadores y de los expertos sobre incertidumbre, sobre experiencias similares, sobre el nivel de confianza y, en general, sobre percepciones que no se pueden medir en números.

Este tipo de evaluación entrega una visión profunda y real sobre perfiles de riesgo que permiten tomar decisiones mucho más ajustadas a la realidad y a los objetivos financieros y estratégicos de la organización.

Cuáles son los tipos de tolerancia al riesgo?

El tipo de tolerancia depende en gran medida de la importancia y la magnitud de los objetivos y del proyecto. Podría definirse como alto, medio o bajo. En terminología técnica se utilizan las siguientes definiciones:

  • Tolerancia conservadora al riesgo: prioriza la estabilidad y la seguridad sobre los posibles beneficios financieros cuando estos no alcanzan un nivel de certeza aceptable.
  • Tolerancia moderada al riesgo: equilibra el riesgo con la oportunidad. La prudencia es la característica financiera.
  • Tolerancia agresiva al riesgo: la organización está dispuesta a asumir un alto riesgo porque la oportunidad es igualmente atractiva. Es característico de organizaciones que muestran una excepcional solidez financiera.

Tomado de: https://www.escuelaeuropeaexcelencia.com/

martes, 22 de abril de 2025

SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN SEGÚN LA ISO 27001

La norma internacional ISO 27001:2022, es un estándar internacional que proporciona un marco para la gestión de la Seguridad de la Información. 

Su Sección 9.1 de la norma ISO/IEC 27001:2022, titulada “Seguimiento, medición, análisis y evaluación”, forma parte del capítulo 9 sobre Evaluación del desempeño.

¿Qué exige la sección 9.1?

Esta sección establece que la organización debe determinar y llevar a cabo el seguimiento, medición, análisis y evaluación necesarios para:

  • Evaluar el rendimiento y la eficacia del Sistema de Gestión de Seguridad de la Información (SGSI).
  • Asegurar la mejora continua y el cumplimiento de los objetivos de seguridad de la información.

¿Por qué es crucial y cómo contribuye?

 1. Permite medir la eficacia del SGSI

No se puede mejorar lo que no se mide. Esta sección obliga a las organizaciones a establecer indicadores objetivos para saber si los controles y procesos están funcionando correctamente.

2. Sustenta la toma de decisiones informadas

Gracias al seguimiento y análisis, la dirección puede basar sus decisiones en datos reales, no en suposiciones. Esto es clave para asignar recursos, priorizar acciones y gestionar riesgos.

3. Facilita la mejora continua

Al evaluar resultados y detectar desviaciones, se pueden identificar oportunidades de mejora. Esto asegura que el SGSI no se estanque y se adapte a nuevas amenazas, tecnologías o cambios organizativos.

4. Demuestra cumplimiento ante auditorías

Disponer de evidencias claras de medición y evaluación permite demostrar el cumplimiento con la norma ISO 27001, lo que es esencial para pasar auditorías externas y mantener la certificación.

5. Anticipa problemas antes de que sean críticos

El seguimiento regular ayuda a detectar fallos o ineficiencias antes de que se conviertan en brechas de seguridad. Es un mecanismo preventivo que protege los activos de información.

 ¿Cómo contribuye al SGSI?


Tomado de: https://isotools.org/

lunes, 21 de abril de 2025

4 HERRAMIENTAS DE EVALUACIÓN DE RIESGOS PARA PROFESIONALES DE LA CALIDAD

Los expertos en gestión de riesgos encuentran desafíos excepcionales, sobre todo por la diversidad de amenazas y de fuentes de eventualidades. 

Tomar las decisiones correctas requiere de una formación especializada y del uso de las herramientas de evaluación de riesgos adecuadas para la tarea o para el área en la que se trabaja, en este caso, la calidad.

Conocer y dominar herramientas de evaluación de riesgos más eficaces es una de las claves para alcanzar con éxito la tarea encomendada. Existen para ello diferentes técnicas, de ahí que su conocimiento sea esencial para los profesionales dedicados a la gestión de la calidad.

Cuáles son las herramientas de evaluación de riesgos más efectivas en gestión de la calidad

Los especialistas en gestión de riesgos que han desarrollado sus habilidades y competencias con la experiencia, o los que lo han hecho con base en programas de formación especializados, aprenden a utilizar diferentes métodos de evaluación de riesgos que aplican en su trabajo diario. Cuando se trata de gestión de la calidad, algunas de esas herramientas de evaluación son especialmente relevantes:

1. Matriz de riesgos

Dentro de las múltiples herramientas de evaluación de riesgos de las que dispone un profesional en esta área, la matriz de riesgos es punto de referencia. Es la primera metodología de evaluación que aprende a utilizar un experto en gestión de riesgos porque es sencilla de utilizar, entrega información gráfica fácil de entender y permite clasificar y calificar los riesgos dependiendo de su gravedad y su probabilidad de ocurrencia.

¿Cómo funciona? Para crear una matriz de riesgos se trazan dos ejes: uno vertical y otro horizontal. El eje horizontal es una escala que representa la gravedad del riesgo evaluado. El eje vertical utiliza una escala para medir la probabilidad de ocurrencia.

Lo que sigue es ubicar los riesgos en cada una de las escalas. Esto significa que el riesgo tendrá una posición en el eje horizontal de acuerdo con su gravedad y otra en el eje vertical, de acuerdo con su probabilidad de ocurrencia.

La matriz permite evaluar muchos riesgos en una misma representación gráfica. Los riesgos, cuya intersección se ubica en la casilla de la esquina superior derecha serán los más graves y los de mayor probabilidad de ocurrencia. Por deducción, los que se ubican en la esquina opuesta, en diagonal, son los menos lesivos y los que menos tienen probabilidad de ocurrir.

La matriz también podría funcionar sin utilizar una escala numérica. En su lugar, podría adoptar calificaciones cualitativas: alto, medio, bajo… En cualquier caso, utilizar colores para resaltar los riesgos de alta probabilidad y gravedad, los de media y los de baja es una forma efectiva para mejorar la comprensión inmediata de la evaluación.

2. Árbol de decisiones

La segunda de las herramientas de evaluación de riesgos recomendadas para los profesionales en gestión de riesgos que trabajan para el área de calidad es el diagrama de árbol de decisiones. Se trata de un esquema con forma de árbol en el que el tronco representa un problema y las ramificaciones las posibles soluciones que, a su vez, se dividen en múltiples opciones de problemas y oportunidades.

¿Cómo funciona? La creación del árbol es relativamente sencilla y permite la participación de tantas personas como sean necesarias. Sin embargo, es bueno que la persona que está al frente de la actividad conozca la simbología propia del diagrama:

  • Nodo de decisión: usualmente se representa con un cuadro y se ubica en los puntos en los que es preciso tomar una o varias decisiones.
  • Nodo de probabilidad: el símbolo es el círculo y se ubica en puntos en los que es preciso considerar diferentes escenarios futuros.
  • Nodo terminal: que indica el punto final de una ramificación.

Las líneas que se derivan de cada rama, dependiendo de su ubicación, conducen a diferentes opciones, decisiones o alternativas para tomar. Al final, los evaluadores notarán que se construye un verdadero árbol en el que se pueden apreciar todas las posibilidades que entraña un solo problema.

Aprovecha estas cuatro herramientas de Evaluación De Riesgos que han sido comprobadas por expertos profesionales en Gestión De La Calidad.

3. Análisis de modos de fallos y efectos

Método AMFE o FEMA, inglés o español, es la sigla para definir una de las herramientas de evaluación de riesgos que trata de identificar todas las formas posibles en las que un proceso, un producto, una decisión, pueden fallar.

¿Cómo funciona? Se diseña un cuadro basado en filas horizontales, cada una iniciando con una leyenda que describe el paso del proceso que se evaluará. Las columnas horizontales corresponden a los fallos potenciales y las consecuencias que resultarían de esos fallos, así como el efecto que tendrían en los niveles superiores del proceso o de la fabricación del producto, por ejemplo.

Es la principal herramienta para calificar y evaluar fallos. Por eso, entre las herramientas de evaluación de riesgos es la más utilizada en industrias manufactureras o transformadoras.

4. Modelo de bow-tie

La cuarta de las herramientas de evaluación de riesgos imprescindibles se especializa en la evaluación de amenazas de escasa ocurrencia, pero de alto impacto negativo. El diagrama debe su nombre a la figura de corbatín que adopta la representación gráfica una vez finalizado.

¿Cómo funciona? El centro del esquema, el nudo de la corbata, indica el problema o riesgo evaluado. A la izquierda se incluyen las acciones preventivas que se proponen y a la derecha las estrategias para mitigar riesgos y su impacto negativo.

El modelo entrega una interesante representación visual de todos los posibles escenarios que plantea un riesgo y de las consecuencias que puede tener cada una de las opciones de gestión propuestas.

Cualquiera de las herramientas de evaluación de riesgos descritas, potencia sus resultados cuando la gestión se automatiza y digitaliza utilizando una plataforma especializada. La transformación digital entrega recursos interesantes para mejorar la productividad de estos modelos de evaluación. Solo quedaría la formación de profesionales expertos en gestión de riesgos.

Tomado de: https://www.escuelaeuropeaexcelencia.com/

GESTIÓN DE RIESGOS EN LA NORMA ISO 9001 2015

La norma ISO 9001 2015 incorpora la gestión de riesgos a través de su enfoque o pensamiento basado en el riesgo. 

Con esto, la empresa tiene en cuenta los riesgos de la organización en su conjunto, lo que es de bastante ayuda a la hora de alcanzar los objetivos que debemos lograr.

Con este pensamiento, colaboramos a la hora de estabilizar y mantener la producción, por otro lado, ayuda a los clientes a asegurarse de que el producto o servicio que van a recibir se ajusta a sus necesidades. Haga clic en el siguiente enlace para saber más sobre el Pensamiento basado en riesgos ISO 9001.

La norma ISO 9001 2015 en la gestión de riesgos ayudará a las organizaciones a:

  • Fabricar unos cimientos sólidos.
  • Dirigirse hacia una cultura proactiva.
  • Garantizar a sus clientes unos productos y servicios de calidad.
  • Incrementar la satisfacción y la confianza de los clientes.

En nuestro blog podrá encontrar más información sobre los Beneficios del enfoque basado en riesgos ISO 9001.

¿Qué es la gestión de riesgos?

La gestión de riesgos es aquel proceso mediante el cual pretendemos prever de forma sistemática los posibles problemas que puedan ocurrir en la organización. Una vez que detectamos los posibles riesgos, el paso siguiente es determinar los procesos necesarios para hacer frente a los efectos, intentando evitarlos o minimizarlos. En el siguiente enlace le indicaremos los Pasos para ejecutar la gestión de riesgos ISO 9001

En la gestión de riesgos es muy importante ser realista. Por ejemplo, la probabilidad de que un ciclomotor se estrelle en nuestra oficina en muy pequeña, sin embargo, la probabilidad de que se pierda la información más valiosa de la empresa contenida en un ordenador es mayor y más realista.

Otro ejemplo de la realidad del riesgo es que la probabilidad de que haya más rechazos de productos por clientes es mayor cuanto mayor envío de lotes de productos realizamos.

Para saber más sobre la gestión de riesgos, debemos hacernos las siguientes preguntas: ¿Hay algo que pueda salir mal en la empresa?, ¿Cómo se puede evitar?, ¿Cómo reaccionaremos si algo de eso ocurre?

La gestión de riesgos que debemos hacer con la norma ISO 9001 2015 no es difícil, sin embargo, debemos tener en cuenta que no se pueden prever todos los riesgos. 

Podemos tener en la empresa procedimientos perfectamente planteados y trabajadores con años de experiencia, pero puede que algún cliente que no tenga claro lo que necesita de nosotros y por este motivo no seamos capaces de ayudarle. Esto es un riesgo al que nos enfrentamos todos los días.

Este tipo de riesgos son aquellos que las empresas no pueden prever. Es decir, ninguna empresa sabe cómo reaccionarán sus clientes ante determinadas situaciones, ni puede controlar el entorno económico. Incluso pueden ocurrir determinadas conformidades ante las que el auditor no sepa reaccionar.

La norma ISO 9001 2015 no obliga a las organizaciones a utilizar por ejemplo la ISO 31000 ni otro instrumento, será cada organización la encargada de decidir que método utilizará.

La publicación de la norma ISO 9001 2015 ha traído consigo muchas preguntas: ¿La gestión de riesgos reemplaza a las acciones preventivas?, ¿Qué es la gestión de riesgos?, ¿Cómo se usa la gestión de riesgos?, etc.

El enfoque orientado en el riesgo está incluido de forma más explícita en la norma ISO 9001 2015.

En la norma ISO 9001 2015 vemos al término riesgo siempre acompañado de “oportunidades”. Estos conceptos vienen descritos en las siguientes cláusulas:

Número 4: Contexto de la organización. Determina que la empresa deberá establecer los riegos y oportunidades que puedan afectar en el logro de sus objetivos.

Número 5: Liderazgo. La dirección debe realizar un seguimiento de la anterior cláusula.

Número 6: Planificación. La organización debe establecer las medidas necesarias para identificar las oportunidades y los riesgos.

Número 8: Operación. La empresa deberá implantar procedimientos que identifiquen los riesgos y las oportunidades.

Número 9: Evaluación del desempeño. La organización debe organizar, medir, verificar y evaluar los riesgos y las oportunidades.

Número 10: Mejora. La organización deberá mejorar en función de los riesgos y oportunidades identificados.

El enfoque orientado en el riesgo es un término que se ha fraguado en la nueva norma ISO 9001 2015.

Lo que en la norma ISO 9001 2008 se conocía como acciones preventivas, estaban destinadas a hacer frente a problemas que tuviesen una probabilidad alta de afectar a la calidad de los productos y servicios.

La inclusión de la gestión de riesgos en los Sistemas de Gestión de la Calidad de la norma ISO 9001 2015 ha hecho que la organización mire al frente y de una forma proactiva. Esto nos ayuda a conocer y afrontar los riesgos de la organización, algo bastante útil en las empresas.

Tomado de: https://www.escuelaeuropeaexcelencia.com/

miércoles, 2 de abril de 2025

¿CÓMO PROTEGER TU NEGOCIO CON UNA GESTIÓN DE RIESGOS EFECTIVA?

Proteger y potenciar tu negocio mediante una gestión de riesgos efectiva es clave para garantizar su estabilidad y crecimiento a largo plazo. 

Aquí tienes algunos pasos esenciales para lograrlo:

1. Identificación de Riesgos

Detecta las amenazas internas y externas que pueden afectar tu negocio, como:

  • Riesgos financieros: fluctuaciones económicas, impagos de clientes.
  • Riesgos operativos: fallos en la cadena de suministro, errores humanos.
  • Riesgos tecnológicos: ciberataques, fallos en sistemas informáticos.
  • Riesgos legales y normativos: cambios en la legislación, incumplimiento de regulaciones.
  • Riesgos estratégicos: competencia, cambios en el mercado.

2. Evaluación y Priorización

No todos los riesgos tienen el mismo impacto. Evalúa su probabilidad de ocurrencia y su grado de afectación para priorizar aquellos que requieren una respuesta inmediata.

3. Implementación de Estrategias de Mitigación

Existen varias maneras de abordar los riesgos:

  • Evitar el riesgo: eliminar actividades de alto riesgo.
  • Reducir el impacto: establecer protocolos de seguridad, planes de contingencia y formación del personal.
  • Transferir el riesgo: contratar seguros o subcontratar funciones específicas.
  • Aceptar el riesgo: si el impacto es mínimo o el coste de mitigación es mayor que la posible pérdida.

4. Monitorización y Revisión Continua

El entorno empresarial está en constante cambio, por lo que es fundamental revisar y actualizar periódicamente la estrategia de gestión de riesgos.

5. Uso de Tecnología y Análisis de Datos

El uso de herramientas como software de gestión de riesgos, inteligencia artificial y análisis predictivo puede ayudarte a identificar tendencias y prevenir problemas antes de que ocurran.

6. Cultura de Riesgo en la Empresa

Fomenta una cultura organizacional donde todos los empleados sean conscientes de los riesgos y participen activamente en su gestión.

Conclusión

Una gestión de riesgos bien estructurada no solo protege tu negocio, sino que también te permite anticiparte a problemasoptimizar procesos y aprovechar oportunidades con mayor seguridad.

 Tomado de: https://isotools.org/