GESTIÓN DE RIESGOS: LAS 6 MEJORES PRÁCTICAS PARA SU GESTIÓN

La Gestión de Riesgos es un proceso clave para cualquier organización, para anticiparse a posibles amenazas ó problemas y aprovechar oportunidades. Su objetivo es proteger los recursos, la reputación y la continuidad del negocio.

 

A continuación, te presento las mejores prácticas para una gestión de riesgos eficaz, utilizadas tanto en el sector público como privado, y alineadas con normas como ISO 31000.

Mejores Prácticas para la Gestión de Riesgos

1. Establecer un marco de trabajo claro y bien definido

• Define políticas, procedimientos y roles responsables.
• Alinea la gestión de riesgos con la estrategia general de la organización.
• Usa marcos reconocidos como ISO 31000 o COSO ERM para que sirvan de guía.

2. Identificación de riesgos

• Encuentra riesgos internos y externos y establece una buena estructura de los mismos.
• Apóyate en metodologías y técnicas ya establecidas como pueden ser:

-Análisis PESTEL (factores políticos, económicos, sociales…)

-Mapas de procesos

-Talleres con expertos o grupos interdisciplinarios

3. Evaluación y análisis de riesgos

• Evalúa los riesgos mediante metodologías comprobadas como por ejemplo, la probabilidad de ocurrencia y el impacto potencial.
• Utiliza una matriz para clasificar y priorizar los riesgos a evaluar.
• Considera todos los riesgos detectados, tanto riesgos negativos (amenazas) como positivos (oportunidades).
• Define un plan de tratamiento de riesgos

4. Diseño de estrategias de respuesta

• Aplica medidas adecuadas:

-Evitar: eliminar el riesgo

-Reducir: disminuir su probabilidad o impacto

-Transferir: como mediante seguros o contratos

-Aceptar: si el riesgo es asumible o inevitable

5. Monitoreo y mejora continua

• Haz evaluaciones periódicas de los riesgos y la efectividad de los controles aplicados.
• Ve ajustando las estrategias según cambios que puedan afectar a los riesgos a evaluar.
• Usa indicadores clave de riesgo (KRIs) para medir tendencias.

6. Cultura de riesgo y comunicación efectiva

• Toda la organización debe conocer la gestión de los riesgos que se lleva a cabo y debe estar dentro de la cultura organizacional.
• Asegura la participación de todos los niveles: desde la alta dirección hasta el personal operativo.
• Establece canales de comunicación para informar, alertar y compartir buenas prácticas.

Estas prácticas permiten no solo reducir pérdidas, sino también mejorar la toma de decisiones y fortalecer la resiliencia organizacional.

Tomado de: https://isotools.org/

 

TENDENCIAS EN GESTIÓN DE RIESGOS Y CUMPLIMIENTO PARA 2025

En la vigencia 2025, analizar las tendencias en gestión de riesgos es una actividad obligatoria para los Risk Manager en esta área. 

Con un panorama geopolítico y corporativo complejo, 2025 es un año especialmente interesante para revisar las estrategias que utilizarán las organizaciones para enfrentar riesgos cada vez más diversos y dinámicos.

Mantenerse a la vanguardia es más importante que nunca. Por eso, adelantarse al nuevo año y evaluar las tendencias en gestión de riesgos para el año 2025 es una forma de iniciar el tratamiento de las amenazas más complejas a las que se han enfrentado las organizaciones hasta el momento.

Cuáles son las tendencias en gestión de riesgos y cumplimiento para 2025

La tercera década del siglo XXI ha traído destacadas innovaciones tecnológicas y también grandes desafíos ambientales. En un panorama así, las tendencias en gestión de riesgos y cumplimiento que ocuparán la agenda de los expertos en el área serán las siguientes:

1. Predominio del uso de IA para el análisis y gestión de riesgos

La incursión de la Inteligencia Artificial será decisiva en la gestión de riesgos. Las organizaciones tienen una herramienta que les permite procesar millones de datos en pocos segundos y obtener predicciones y escenarios hipotéticos con un alto grado de precisión. Son aspectos que ayudarán a tomar decisiones para enfrentar riesgos que se prevén para meses o años venideros.

La IA podrá establecer patrones y proporcionar información con una anticipación que no tiene precedentes en la historia. Es posible pensar que la gestión de riesgos trabajará sobre amenazas previstas para dos, cinco o diez años más adelante. Incluso, la hoy valorada gestión en tiempo real, pasará a ser obsoleta.

Gracias a los algoritmos de aprendizaje automáticos, los sistemas automatizados podrán señalar desviaciones o posibles infracciones de seguridad de la información solo analizando el comportamiento de los usuarios. Los equipos de gestión de riesgos dejarán de reaccionar para dedicarse a prevenir con una muy amplia anticipación.

2. Integración de los riesgos operativos con los de ciberseguridad

En un mundo cada día más interconectado y digital, cualquier riesgo de ciberseguridad se convierte también en operativo. Significa que una violación de seguridad puede anular la capacidad de la organización para operar. Es evidente, por ello, que la gestión de riesgos necesita integrarlos. Son amenazas interconectadas, relacionadas y, sobre todo, con consecuencias similares.

Por eso, las tendencias en gestión de riesgos para 2025 prevén evaluaciones de riesgos integrales, que aborden los riesgos cibernéticos a la par que los operativos. También se impondrán las plataformas unificadas que se ocupen de todas las posibles eventualidades, así como los equipos de trabajo en los que participen personas de todas las áreas. Los riesgos dejan de ser locales o específicos.

3. Riesgo climático

En este aspecto, las tendencias en gestión de riesgos se enmarcarán en tres vertientes: el trabajo para mitigar riesgos ambientales, la capacidad de adaptación a nuevas condiciones climáticas y la adopción de modelos ESG de gestión.

Los riesgos ambientales son prioritarios para las organizaciones por una cuestión de supervivencia, pero también de competitividad. Las empresas que logren disminuir o eliminar su huella de carbono tendrán una mejor percepción por parte de los consumidores y serán más apreciadas por inversores.

La capacidad para adaptarse a nuevas condiciones será clave para enfrentar el cambio climático como riesgo. Por supuesto, también está la capacidad de la organización para gestionar sus criterios ESG, pero esa es una de las tendencias en gestión de riesgos para 2025 que merece un capítulo aparte.

4. Integrar los factores ESG en la gestión de riesgos

Con la aparición de normativas que solicitan a las organizaciones informar sobre sus cuestiones ESG y sobre los resultados obtenidos, es evidente que estos factores adquieren un rol destacado en la gestión de riesgos.

Las organizaciones necesitarán establecer métricas e indicadores de riesgo e integrarlos en su gestión y en las evaluaciones de riesgos financieros. Es importante advertir que las empresas que no presenten informes ESG pueden quedar marginadas de recursos del sector financiero o de inversores públicos o privados.

También aparece un riesgo de cumplimiento implícito: precisamente, a partir de 2025, un buen número de organizaciones estarán obligadas a presentar informes ESG y de sostenibilidad. Esto hace que la integración de los factores ESG en la gestión de riesgos deje de ser opcional y se convierta en un asunto de competitividad y de cumplimiento.

Con estándares y regulaciones más exigentes, integrar la gestión ESG con la gestión de riesgos, sin duda, será una de las tendencias en gestión de riesgos en el nuevo año 2025.

 5. Gestión de riesgos en la cadena de suministro

La gestión de riesgos de proveedores cobra cada vez más relevancia. Las cadenas de suministro globales se hacen vulnerables a muchas amenazas, por ello, centrarán algunas de las tendencias en gestión de riesgos.

En 2025 se espera que los profesionales especializados en este campo monitoreen de forma continua el acontecer geopolítico y su incidencia en puertos y medios de transporte, así como cualquier otro evento que pueda suspender de improviso el suministro.

6. Adaptabilidad de la gestión de riesgos

Una de las preocupaciones para los equipos de gestión de riesgos será la volatilidad y el dinamismo del entorno. El marco regulatorio, las cuestiones políticas y financieras, la tecnología o el comportamiento de los consumidores pueden sufrir giros de 180 grados. Por ello, una de las tendencias en gestión de riesgos será la de trabajar para crear sistemas ágiles, adaptables y flexibles.

Además, se tenderá hacia la toma de decisiones inmediatas y al uso de recurso tecnológicos adecuados que permitan monitorear todos los frentes y obtener información en tiempo real sobre la evolución de la gestión de riesgos, los problemas que parecen ser inminentes o los puntos críticos en los que se concentra un número inusual de amenazas.

7. Aumentar la capacidad de resiliencia

Los equipos de riesgos entienden que, por ahora, no todas las amenazas se podrán contener, en especial si se trata de eventos de baja probabilidad y alto impacto. Por eso, además de trabajar en la prevención y la gestión proactiva, habrá que hacerlo en la capacidad de resiliencia.

Las organizaciones y sus equipos de riesgos desarrollarán en 2025 estrategias que aseguren la continuidad del negocio con niveles mínimos de operabilidad. Es importante entender que la resiliencia no se refiere solo a la supervivencia, sino a la capacidad para regresar en poco tiempo a un nivel de operación normal.

8. La privacidad de los datos

La privacidad de los datos seguirá siendo una de las tendencias en gestión de riesgos. Sin embargo, es probable que el foco deje de estar sobre el RGPD. Dos razones para que esto sea así: la publicación de regulaciones y leyes similares alrededor del mundo y aparición de nuevas formas de atacar los sistemas de las empresas, que aún no cuentan con herramientas efectivas para contrarrestarlas.

El desafío para los equipos de riesgos será mantenerse al día con los cambios regulatorios alrededor del mundo, pero también con los avances tecnológicos que, desafortunadamente, no se limitan a los aspectos positivos.

9. Teletrabajo y trabajo remoto

El teletrabajo y el trabajo remoto ofrecen grandes oportunidades a empresas y trabajadores, pero también conllevan riesgos relacionados con la seguridad y la salud en el trabajo y con la seguridad de la información. Las tendencias en gestión de riesgos, en este campo, girarán en torno a la forma en que la organización puede ejercer controles y monitorear el trabajo sin llegar a ser intrusiva o invasiva.

Tomado de: https://www.escuelaeuropeaexcelencia.com/

MITIGAR RIESGOS: QUÉ ES Y POR QUÉ ES IMPORTANTE

Mitigar riesgos con anticipación y de forma proactiva ha sido el factor diferencial por el que muchas empresas reconocidas a nivel mundial han conseguido optimizar su gestión corporativa y superar eventos disruptivos de alto impacto negativo.

Los eventos disruptivos no hacen diferencia entre grandes o pequeñas empresas. El cambio climático, los ciberataques, la tensión geopolítica o los recientes problemas en la cadena de suministro pueden anular la capacidad operativa de cualquier organización que no haya trabajado en mitigar riesgos de forma efectiva.

Crear un equipo profesional para mitigar riesgos y dotarlo con los recursos tecnológicos y de formación que necesitarán para hacer un buen trabajo es una inversión que aportará beneficios a la organización, un interesante ROI y un marco de seguridad competitivo.

Qué significa mitigar riesgos

Mitigar riesgos es el proceso mediante el cual profesionales especializados identifican amenazas y las evalúan. Tras ello, asignan a cada una un valor de acuerdo con la gravedad o la probabilidad de ocurrencia, las priorizan y diseñan estrategias de respuesta para eliminarlas o para modificar su capacidad lesiva.

Mitigar riesgos implica diseñar procesos, utilizar metodologías y recursos físicos y tecnológicos. Se consigue así llegar a diferentes áreas como legal, financiera, seguridad en el trabajo, gestión ambiental, y, por supuesto, mantener un radar activo sobre amenazas potenciales de orden meteorológico, sísmico, social, político o macroeconómico, entre otros.

Mitigar riesgos es importante porque la organización puede anticiparse a la ocurrencia de eventos que pueden paralizar las operaciones. La mitigación de riesgos tiene entre sus premisas garantizar la continuidad del negocio en condiciones aceptables, aun en las peores circunstancias.

Cuáles son los beneficios de mitigar riesgos

Por supuesto, una actividad que tiene como propósito diseñar acciones para proteger a la organización del impacto negativo de una amenaza solo puede ser positiva. En cualquier caso, es posible mencionar algunos de los muchos beneficios específicos:

• Proteger los activos de la organización, que pueden ser tangibles o intangibles, como la reputación o los derechos intelectuales, entre otros.
• Asegurar el cumplimiento en áreas sensibles como seguridad y salud en el trabajo, seguridad de la información, gestión ambiental, etc.
• Proteger y mejorar la reputación. Las organizaciones que protegen a sus clientes, a sus proveedores, sus empleados o los miembros de su comunidad agregan valor a su marca.
• Tomar mejores decisiones, ya que se cuenta con una comprensión integral de lo que puede salir mal y de las oportunidades que es posible aprovechar.
• Aumentar la resiliencia, al contar con planes de recuperación y de respuesta a emergencias.
• Ahorrar dinero y tiempo: las organizaciones que trabajan en la prevención sistemática de riesgos reducen costes, evitan sanciones o multas y disminuyen el valor de sus pólizas de seguro.
• Obtener confianza de las partes interesadas, empezando por los clientes, los inversionistas, los empleados y los organismos reguladores.
• Ganar ventajas competitivas al identificar y explotar oportunidades que pasan desapercibidas para las empresas que no gestionan riesgos.

¿Qué estrategias implementar para mitigar riesgos?

El objetivo de la gestión de riesgos es disminuir a niveles aceptables la exposición de la organización a eventos negativos. No siempre se trata de mitigar riesgos, la gestión profesional ofrece varias opciones interesantes. Lo importante decidir es cuál es la apropiada de acuerdo con la amenaza que se considera:

1. Eliminar

Se trata de eliminar los factores, los elementos o las circunstancias que originan el riesgo desde la raíz. En ocasiones, eliminar un riesgo implica limitar la capacidad operativa de la organización. En otros momentos, eliminar el riesgo puede ser más costoso que lo que significaría la ocurrencia del evento negativo.

2. Mitigar

Es la palabra que se utiliza para generalizar la gestión por una razón: es en esta estrategia donde encajan la mayoría de los riesgos. Cuando se instalan equipos para apagar incendios, se señalizan algunas áreas o se dota a algunos empleados de equipos de protección personal, por citar algunos ejemplos, se está minimizando el impacto, pero no se está eliminado.

3. Trasladar o compartir

Es lo que se hace cuando se toma una póliza de seguro que cubre el riesgo o cuando se entrega al proceso o la actividad que genera el riesgo a un tercero.

4. Aceptar o retener

Cuando la gravedad no es muy alta y la probabilidad tampoco lo es, es posible operar aceptando el riesgo, tomando algunas medidas para mitigarlo. Se toman en este caso algunas acciones propias mencionadas en el segundo apartado, el de mitigar.

Cómo mitigar riesgos de acuerdo con la industria

La gestión de riesgos sigue diferentes caminos cuando se trata de industrias igualmente diversas. La personalización desempeña un rol muy importante y es necesario que los profesionales encargados así lo entiendan.

Las herramientas tecnológicas que utilicen para la gestión de riesgos necesitan también un grado de ductilidad y configuración para adaptarse a los requisitos de diferentes industrias. Algunos casos, a continuación:

Cuáles son las tendencias en la gestión de riesgos para 2025

La mitigación de riesgos esenciales es un campo profesional reconocido y definido, que está en constante evolución. Los profesionales modernos se apoyan en la tecnología para implementar técnicas novedosas y para poner a prueba metodologías que aún no han sido difundidas a nivel global. A continuación, algunas de las tendencias se impondrán en el área de gestión de riesgos:

• Incorporación de la tecnología: la gestión de riesgos estará vinculada de forma ineludible a la tecnología. El procesamiento de datos, la automatización e incluso, el uso de Inteligencia Artificial, serán elementos esenciales para el logro de objetivos.
• Protección contra ciberataques: 2025 será un año en el que la ciberseguridad se posicionará como un campo definido y específico dentro de la gestión de riesgos.
• Alineación con la estrategia de negocios: los equipos de gestión de riesgos entenderán que la estrategia de negocios de la organización tiene prevalencia. Sin ella, no tiene sentido gestionar riesgos.
• Criterios ESG: las consideraciones sobre aspectos ambientales, sociales y de gobernanza, tendrán impacto sobre la gestión de riesgos, con sus implicaciones en el cumplimiento.
• Inmediatez de la gestión: para 2025 se espera que los equipos de gestión de riesgos puedan actuar de manera inmediata, sobre la marcha, lo que no impide que se esfuercen para ser proactivos y preventivos.
• La formación será activo de alto valor: atrás quedarán las épocas en la que los encargados de la gestión de riesgos eran los empleados con mayor experiencia en la organización, que habían aprendido el oficio de forma empírica o imitando a su antecesor. La formación profesional, moderna y apoyada por la tecnología ocupará el primer lugar.

Tomado de: https://www.escuelaeuropeaexcelencia.com/

TOLERANCIA AL RIESGO: QUÉ ES, POR QUÉ ES IMPORTANTE Y CÓMO DETERMINARLA

En un escenario tan dinámico como es el empresarial, entender qué es la tolerancia al riesgo resulta esencial. Es un aspecto que los especialistas en gestión de riesgos necesitan abordar para conseguir que sus organizaciones puedan navegar sin dificultades en un mercado complejo.

Muchas de las empresas emergentes que no logran afianzarse tienen un elemento común: el desconocimiento del concepto de tolerancia al riesgo. Si prescindir de cualquier tipo de gestión de riesgos es arriesgado, lo es mucho más realizar esa gestión sin medir o establecer un nivel de tolerancia al riesgo real y coherente con el contexto de la organización, su operación y sus objetivos comerciales, entre otros criterios.

Qué es la tolerancia al riesgo

La tolerancia al riesgo es el nivel máximo de desviación o de incertidumbre que puede soportar la organización con respecto al apetito de riesgo ya definido. Puede parecer que apetito y tolerancia son sinónimos, pero no es así:

El apetito es el nivel de riesgo que la organización está dispuesta a aceptar. Es un nivel que establece el equipo encargado de la gestión de acuerdo con diferentes criterios, siendo el más importante la oportunidad que se puede aprovechar al aceptar el nivel de riesgo.

La tolerancia al riesgo se podría definir como un nivel superior de riesgo sobre el ya determinado como apetito.

Surge entonces una pregunta: ¿para qué subir la escala de riesgo si ya se ha determinado que hay un punto de relativa seguridad? Para responder, es preciso enmarcar la tolerancia al riesgo dentro del terreno de las decisiones financieras o de inversión. En el mundo financiero, las decisiones acertadas en un momento pueden no serlo en otro. Cotizaciones de divisas, valores de acciones, inflación, deflación o tasas de interés son indicadores que tienen la capacidad de modificar una estrategia financiera o una decisión de inversión.

En marcos tan volátiles, la definición del apetito de riesgo puede ser relativamente estática. Pero los tomadores de decisiones necesitan otra escala para medir el riesgo aceptable para tomar una decisión inmediata, basada en criterios que probablemente no perduren más allá de una semana, o acaso dos o tres días.

Factores que influyen la determinación de la tolerancia al riesgo

Tolerancia al riesgo es un concepto con una complejidad derivada del escenario en el que se utiliza: el área de finanzas e inversiones. La mejor forma para entenderlo es desglosando, aunque de forma somera, los factores que lo influencian:

1. Situación financiera de la organización

La situación financiera, o el estado del balance patrimonial en términos contables, determinan el nivel hasta el que puede subir la tolerancia. Una organización que muestra ingresos al alza, disminución de costes, pocos pasivos y activos de gran valor, liquidez suficiente y reservas patrimoniales cuantiosas está preparada para aceptar un nivel de tolerancia alto.

2. Estrategias de negocios

Los proyectos ambiciosos, por lo general, impulsan un alza del nivel de tolerancia hacia los riesgos y amenazas. Es el caso de los proyectos de incursión en nuevos mercados, el desarrollo de productos innovadores, las alianzas y fusiones o la compra hostil de otra organización.

3. Tendencias de la industria

Algunas industrias se caracterizan por una vertiginosa evolución, como ocurre en comunicaciones, electrónica, internet o automoción. Por supuesto, en estas empresas no hay mucho margen para la acción y cualquier cambio en las tendencias genera la necesidad de subir la graduación de tolerancia al riesgo.

4. Cambios regulatorios

Si los requisitos regulatorios cambian, surge una afectación a la estrategia comercial que requiere pensar en modificar la tolerancia al riesgo. En este caso, la decisión puede ser hacia arriba o hacia abajo. Eventualmente, el cambio regulatorio puede favorecer a la organización y llevarla a revisar su nivel de tolerancia para disminuirlo.

5. Necesidades de las partes interesadas

Algunas partes interesadas pueden manifestar requisitos, necesidades o expectativas que obligan a determinar un nivel de tolerancia superior. Si los inversores o los socios presionan para obtener mejores resultados financieros, pueden tomar decisiones más arriesgadas para cumplir con los requerimientos de esas partes interesadas.

Por qué es necesario definir el nivel de tolerancia al riesgo

Si se comprende qué es la tolerancia al riesgo y cómo se establece, no parece lógico que la organización tenga ese indicador definido en todo momento, ya que lo importante es hacerlo en el momento necesario, y de acuerdo con el contexto y las condiciones imperantes.

Gestionar la tolerancia al riesgo, como requisito para la toma de decisiones informadas y estratégicas, en especial cuando estas son de índole financiera, aporta innegables beneficios a la organización:

Genera alineamiento estratégico, que es la coherencia entre las decisiones financieras y de inversión con los objetivos de negocio de la organización.

Hace que la asignación de recursos financieros sea eficiente, ya que se evalúa la oportunidad que representa una inversión sobre la base de indicadores de riesgo actuales, definiendo cuál es el riesgo y hasta qué punto está preparada la organización para soportarlo.

Incrementa la ventaja competitiva: la organización toma decisiones informadas, inteligentes, pero, sobre todo, entendiendo que tiene un nivel de tolerancia al impacto negativo que probablemente no tengan sus competidores.

Aumenta la credibilidad y confianza en los socios y los inversores, que perciben un nivel de madurez en la gestión de riesgos. Esta credibilidad repercute en la reputación de la empresa y aumenta el valor de la marca.

Promueve el crecimiento sostenido porque, aun cuando en algunas ocasiones sea preciso absorber el impacto de la ocurrencia de un riesgo, en general el resultado será un rendimiento financiero equilibrado que produce rentabilidad como constante en los estados financieros

Cómo se establece el nivel de tolerancia al riesgo

En el proceso, la inmediatez es importante. Hay que contar con la información y los datos en todo momento, y que estos sean accesibles. Las organizaciones que automatizan y digitalizan sus sistemas de gestión de riesgos tienen mayores oportunidades de entregar resultados precisos. Los pasos son los siguientes:

1. Evaluar los objetivos o las razones para tomar una decisión

Un proyecto de expansión, aceptar una fusión, entrar en un nuevo mercado o vender una línea de producto a otra organización son decisiones que requieren evaluar el nivel de tolerancia al riesgo que implican y que influyen en los siguientes pasos del proceso.

2. Comprender los riesgos asociados

Para establecer la tolerancia al riesgo es preciso conocer y entender el tipo de riesgo y sus características: ¿El impacto será financiero o tendrá repercusiones legales y reputacionales? ¿De qué magnitud puede ser el impacto?

3. Considerar el tiempo de exposición

Es necesario determinar el periodo de tiempo que la empresa tendrá que tolerar un nivel de riesgo excepcional. Periodos de tiempo demasiado largos podrían obligar a declinar el negocio y preferir la seguridad.

4. Evaluar la posición financiera de la organización

Para tolerar el riesgo, es preciso que la organización exhiba una sólida y fuerte salud financiera. Cualquier deficiencia, como falta de liquidez, podría inclinar la balanza hacia una abstención.

5. Definir el contexto de la organización

El contexto de la organización lo definen las condiciones del mercado, los indicadores macroeconómicos, la estabilidad económica y social del país e, incluso, situaciones particulares como la inminencia de una huelga o el descontento generalizado de la comunidad en la que opera la empresa.

6. Utilizar metodologías específicas para determinar la tolerancia al riesgo

El concepto de tolerancia al riesgo no es nuevo. Por eso, existen metodologías probadas para este propósito. Aunque las plataformas tecnológicas pueden incorporar esas herramientas, siempre será aconsejable contar con un profesional experto en Gestión de Riesgos que domine el tema con la suficiente autoridad académica.

7. Evaluar la resistencia real de la tolerancia

Sobre el papel, la tolerancia definida puede ser adecuada. Pero este resultado aún debe resistir otro análisis: se trata de someter el nivel de tolerancia a posibles situaciones extremas para tratar de predecir su comportamiento.

8. Evaluar opciones de diversificación

El riesgo se puede mitigar acudiendo a la vieja estrategia de diversificar. Si es posible, se puede pensar en inversiones en diferentes naciones o en diferentes industrias.

9. Recibir consejos financieros

La tolerancia al riesgo es una evaluación de carácter financiero. Así, lo más apropiado es contar con asesoría de los expertos, particularmente de quienes conocen la situación del lugar de destino de la inversión.

10. Revisar y ajustar

En decisiones a largo plazo es prudente programar revisiones y ajustes de la tolerancia al riesgo en periodos de tiempo razonables. Se trata de verificar que persisten las condiciones originales, que se están alcanzando los objetivos y que el nivel de conformidad y comodidad es aceptable.

Qué es el proceso bidimensional de evaluación de tolerancia al riesgo?

El proceso bidimensional ofrece un enfoque integral, holístico, que permite obtener una comprensión mucho más precisa de los elementos, incluyendo los factores cualitativos, que no se tienen en cuenta en el proceso descrito en el apartado anterior. Básicamente, el proceso bidimensional considera dos tipos de evaluación:

• Evaluación financiera: toma en cuenta los indicadores y métricas considerados de forma habitual en el proceso anterior, como liquidez, rentabilidad, valor de los activos, nivel de ingresos y su estabilidad, etc.
• Evaluación psicológica: evalúa la percepción de las partes interesadas, de los evaluadores y de los expertos sobre incertidumbre, sobre experiencias similares, sobre el nivel de confianza y, en general, sobre percepciones que no se pueden medir en números.

Este tipo de evaluación entrega una visión profunda y real sobre perfiles de riesgo que permiten tomar decisiones mucho más ajustadas a la realidad y a los objetivos financieros y estratégicos de la organización.

Cuáles son los tipos de tolerancia al riesgo?

El tipo de tolerancia depende en gran medida de la importancia y la magnitud de los objetivos y del proyecto. Podría definirse como alto, medio o bajo. En terminología técnica se utilizan las siguientes definiciones:

• Tolerancia conservadora al riesgo: prioriza la estabilidad y la seguridad sobre los posibles beneficios financieros cuando estos no alcanzan un nivel de certeza aceptable.
• Tolerancia moderada al riesgo: equilibra el riesgo con la oportunidad. La prudencia es la característica financiera.
• Tolerancia agresiva al riesgo: la organización está dispuesta a asumir un alto riesgo porque la oportunidad es igualmente atractiva. Es característico de organizaciones que muestran una excepcional solidez financiera.

Tomado de: https://www.escuelaeuropeaexcelencia.com/

9 METODOLOGÍAS DE ANÁLISIS DE RIESGOS PARA EMPRESAS

El análisis de riesgos es un proceso fundamental para identificar, evaluar y gestionar los posibles riesgos que pueden afectar a una empresa u organización. Su objetivo es minimizar el impacto negativo de eventos inciertos en la operatividad, la seguridad y la rentabilidad de un negocio.

Aquí tienes 9 metodologías de análisis de riesgos que las empresas pueden utilizar para identificar, evaluar y gestionar los riesgos en sus operaciones:

1. Análisis de Riesgos y Puntos Críticos de Control (HACCP)

Usado en la industria alimentaria y de manufactura para identificar peligros y establecer controles preventivos.

2. Análisis Modal de Fallos y Efectos (AMFE o FMEA, por sus siglas en inglés)

Evalúa posibles fallos en productos o procesos y sus consecuencias para mejorar la confiabilidad y seguridad.

3. Matriz de Riesgo (Probabilidad vs. Impacto)

Clasifica riesgos en una matriz basada en su probabilidad de ocurrencia y el impacto que pueden generar.

4. Análisis Causa-Raíz (RCA – Root Cause Analysis)

Identifica la causa principal de problemas para evitar su recurrencia.

5. Análisis Bowtie (Análisis de Corbata de Pajarita)

Representa visualmente las amenazas, consecuencias y medidas de control de un riesgo específico.

6. ISO 31000 – Gestión del Riesgo

Marco normativo internacional que proporciona principios y directrices generales para la gestión de riesgos en cualquier tipo de organización. Una opción recomendable es la norma ISO 31010 en la cual se explican diversas metodologías para gestionar los riesgos corporativos.

7. Método HAZOP (Hazard and Operability Study)

Utilizado en industrias como la química y la petrolera para evaluar desviaciones en procesos y sus posibles consecuencias.

8. Método What-If (¿Qué pasaría si?)

Consiste en una evaluación de escenarios hipotéticos para anticipar posibles problemas y sus impactos.

9. Análisis Cuantitativo de Riesgos (QRA – Quantitative Risk Assessment)

Usa datos estadísticos y modelos matemáticos para calcular el nivel de riesgo y tomar decisiones basadas en probabilidades.

Cada empresa debe elegir la metodología más adecuada según su sector, el tipo de riesgo y los recursos disponibles, por tanto, es recomendable acudir a un experto o consultor especializado en el tema a fin de tomar decisiones idóneas y acertadas. 

Tomado de: https://isotools.org/

9 METODOLOGÍAS DE ANÁLISIS DE RIESGOS PARA EMPRESAS

El análisis de riesgos es un proceso fundamental para identificar, evaluar y gestionar los posibles riesgos que pueden afectar a una empresa u organización.

Su objetivo es minimizar el impacto negativo de eventos inciertos en la operatividad, la seguridad y la rentabilidad de un negocio. Aquí tienes 9 metodologías de análisis de riesgos que las empresas pueden utilizar para identificar, evaluar y gestionar los riesgos en sus operaciones:

1. Análisis de Riesgos y Puntos Críticos de Control (HACCP)

Usado en la industria alimentaria y de manufactura para identificar peligros y establecer controles preventivos.

2. Análisis Modal de Fallos y Efectos (AMFE o FMEA, por sus siglas en inglés)

Evalúa posibles fallos en productos o procesos y sus consecuencias para mejorar la confiabilidad y seguridad.

3. Matriz de Riesgo (Probabilidad vs. Impacto)

Clasifica riesgos en una matriz basada en su probabilidad de ocurrencia y el impacto que pueden generar.

4. Análisis Causa-Raíz (RCA – Root Cause Analysis)

Identifica la causa principal de problemas para evitar su recurrencia.

5. Análisis Bowtie (Análisis de Corbata de Pajarita)

Representa visualmente las amenazas, consecuencias y medidas de control de un riesgo específico.

6. ISO 31000 – Gestión del Riesgo

Marco normativo internacional que proporciona principios y directrices generales para la gestión de riesgos en cualquier tipo de organización.

En la práctica, es recomendable aplicar las metodologías del la ISO 31010.

7. Método HAZOP (Hazard and Operability Study)

Utilizado en industrias como la química y la petrolera para evaluar desviaciones en procesos y sus posibles consecuencias.

8. Método What-If (¿Qué pasaría si?)

Consiste en una evaluación de escenarios hipotéticos para anticipar posibles problemas y sus impactos.

9. Análisis Cuantitativo de Riesgos (QRA – Quantitative Risk Assessment)

Usa datos estadísticos y modelos matemáticos para calcular el nivel de riesgo y tomar decisiones basadas en probabilidades.

Cada empresa debe elegir la metodología más adecuada según su sector, el tipo de riesgo y los recursos disponibles. 

Cuando haya escogido la metodología de análisis más conveniente a su contexto, deberá conocerla, probarla y aplicarla. Luego analizar los resultados del ejercicio.

Tomado de: https://isotools.org/

TENDENCIAS DE GESTIÓN DE RIESGOS EN 2025

Como cada año, lanzamos nuestro Estudio de Gestión de Riesgos en Latinoamérica 2025, el más grande de la región, para poder dar a conocer a las empresas, auditores y gestores de riesgos, el panorama al que nos podemos enfrentar en este 2025. 

En esta edición contamos con la participación de 530 participantes de 15 países. También contamos con las opiniones y recomendaciones de expertos. En este artículo encontrarás las principales tendencias y podrás descargar el Estudio para que lo lleves a todas partes. No olvides compartirlo con todos tus compañeros, para estar preparados ante los riesgos y retos del año.

La gestión de riesgos se ha convertido en un área transversal para cualquier empresa, sin importar su tamaño o el sector al que pertenezca. Más allá de cumplir con las normativas correspondientes, las organizaciones han comprendido que identificar y gestionar sus riesgos es importante para proteger su operación, fortalecer su relación con los grupos de interés y asegurar su sostenibilidad a largo plazo. Esto no sólo las ayuda a mantener el rumbo frente a desafíos, sino que también les permite generar valor y aprovechar oportunidades para su crecimiento.

El concepto de riesgos ha evolucionado significativamente. Ya no se limita a eventos aislados que puedan afectar la continuidad operativa de una organización, sino que abarca un espectro más amplio, que incluye factores internos y externos con el potencial de impactar todas las áreas del negocio. Esto ha llevado a que la gestión de riesgos no sólo sea una obligación regulatoria, sino también una estrategia clave para anticiparse a escenarios adversos, proteger los activos críticos y, en última instancia, construir una ventaja competitiva sostenible.

Resultados del Estudio de Gestión de Riesgos en Latinoamérica 2025

En esta quinta edición del Estudio de Gestión de Riesgos en Latinoamérica, que realizamos en Pirani, participaron 530 personas de más de 15 países de la región de diferentes industrias. 

A través de una encuesta virtual que respondieron, pudimos conocer entre otros datos, los riesgos más importantes que tienen en gestión de riesgos. 

Top 5 riesgos para el 2025

Ciberseguridad y protección de datos 67,5%

Cambio regulatorio y cumplimiento normativo 62,2%

Top 5 dificultades actuales 

Falta de cultura de riesgos 36.1%

Falta de herramientas tecnológicas 9,6%

Top 3 retos en gestión de riesgos para el 2025

Cambio regulatorio y cumplimiento normativo (11,1%)

Si quieres conocer todos los datos te invitamos a descargar el Estudio de Gestión de Riesgos 2025: https://www.piranirisk.com/es/estudio-gestion-de-riesgos-latinoamerica-2025

Riesgos más importantes para las organizaciones en Latinoamérica en 2025

1. Ciberseguridad y protección de datos

Con el 67,5% de las respuestas, se mantiene en el primer lugar de los riesgos más importantes para las organizaciones. Según los expertos, este riesgo seguirá creciendo por mucho más tiempo, sobre todo en un contexto en el que la Inteligencia Artificial (IA) está tan implementada en las labores cotidianas de las empresas, pero para lograr un equilibrio, los usuarios deben tener un conocimiento sobre las buenas prácticas al usar esta herramienta. Según Jean Paul Heymans, consultor en ciberseguridad: 

“La gente, en la mayoría de las organizaciones ya ha estado expuesta a algún tipo de simulación de phishing, y al entrenamiento de buenas prácticas, pero muchas veces la barrera para llevar esos conocimientos a la práctica es no verlo como un escenario real. Entender que todos estamos expuestos a ser víctimas y el impacto de algo tan sencillo como hacer un clic malicioso puede ser gigantesco en la empresa”

Otro factor importante para que la ciberseguridad, se mantenga como uno de los principales riesgos, es como lo explica Esperanza Hernandez, representante legal de HC Gestión: “El robo de datos es algo muy frecuente y las interrupciones en los sistemas a causa de esto” es por esa razón que las organizaciones deben seguir implementando y actualizando sus controles para evitar estos riesgos. 

2. Cambio regulatorio y cumplimiento normativo. 

El 62, 2% de los encuestados considera que este riesgo es uno de los más importantes para enfrentar en el 2025. 

Según Mariano López, jefe de cumplimiento y gestión integrada en la fundación ArgenINTA, “En latinoamérica, el principal riesgo está relacionado con las modificaciones en las reglas y legislaciones generadas por los cambios de gobiernos y autoridades, que pueden llevar a afectar los bienes y servicios que ofrecen las organizaciones y cómo los comercializan” 

Sumado a esto la constante evolución de las normativas y el aumento de regulaciones complejas han convertido el cumplimiento normativo en un desafío crucial para las organizaciones. Además de las posibles sanciones legales y económicas, el incumplimiento puede impactar negativamente en la reputación y continuidad operativa. 

Importancia de la gestión de riesgos

El 48,1% de los participantes asegura que la gestión de riesgos es muy importante en sus organizaciones, consideran que es un área estratégica para el logro de los objetivos organizacionales y la continuidad de los negocios. 

El 42,1% de los encuestados dice que la gestión de riesgos es importante, sin embargo, consideran que en sus organizaciones hace falta mayor compromiso por parte de todos los colaboradores.

Para las organizaciones que buscan una gestión integral y eficiente de sus riesgos, Pirani, ofrece módulos especializados para gestionar riesgos de Compliance, Gestión de riesgos Operacionales (ORM), Gestión de Seguridad de la Información (ISMS), Prevención de Lavado de Activos (AML), y Gestión de Auditorías. Cada módulo está diseñado para afrontar desafíos específicos, desde el cumplimiento normativo hasta la protección frente a ciberamenazas y la mitigación de riesgos operativos. 

Al centralizar estas funciones en una plataforma, Pirani no sólo optimiza los procesos de gestión de riesgos, sino que también promueve una cultura de cumplimiento y resiliencia organizacional. Además, su capacidad de integración y personalización. Además, su capacidad de integración y personalización permite que las organizaciones adapten las herramientas a sus necesidades únicas, asegurando que los riesgos sean identificados, analizados y tratados de manera oportuna y efectiva. 

Te contamos lo que tu organización puede lograr: 

• Reducción de la carga operativa en un 60% gracias a la automatización
• Reducción de errores humanos en un 30% al tener una mejor calidad de información y evitar reprocesos
• Mejora en la percepción de la madurez de riesgos ante clientes y entes reguladores
• Reduce en un 40% los tiempos de detección y respuestas ante eventos 
• Aumento en un 70% en la participación de los miembros de la organización y fomento de la cultura de riesgos. 

Tomado de: https://www.linkedin.com/

TENDENCIAS EN GESTIÓN DE RIESGOS Y CUMPLIMIENTO PARA 2025

Con el advenimiento del 2025, analizar las tendencias en gestión de riesgos es una actividad obligatoria para los Risk Manager en esta área. 

Con un panorama geopolítico y corporativo complejo, este es un año especialmente interesante para revisar las estrategias que utilizarán las organizaciones para enfrentar riesgos cada vez más diversos y dinámicos.

Mantenerse a la vanguardia es más importante que nunca. Por eso, adelantarse al nuevo año y evaluar las tendencias en gestión de riesgos para el año 2025 es una forma de iniciar el tratamiento de las amenazas más complejas a las que se han enfrentado las organizaciones hasta el momento.

Cuáles son las tendencias en gestión de riesgos y cumplimiento para 2025

La tercera década del siglo XXI ha traído destacadas innovaciones tecnológicas y también grandes desafíos ambientales. En un panorama así, las tendencias en gestión de riesgos y cumplimiento que ocuparán la agenda de los expertos en el área serán las siguientes:

1. Predominio del uso de IA para el análisis y gestión de riesgos

La incursión de la Inteligencia Artificial será decisiva en la gestión de riesgos. Las organizaciones tienen una herramienta que les permite procesar millones de datos en pocos segundos y obtener predicciones y escenarios hipotéticos con un alto grado de precisión. Son aspectos que ayudarán a tomar decisiones para enfrentar riesgos que se prevén para meses o años venideros.

La IA podrá establecer patrones y proporcionar información con una anticipación que no tiene precedentes en la historia. Es posible pensar que la gestión de riesgos trabajará sobre amenazas previstas para dos, cinco o diez años más adelante. Incluso, la hoy valorada gestión en tiempo real, pasará a ser obsoleta.

Gracias a los algoritmos de aprendizaje automáticos, los sistemas automatizados podrán señalar desviaciones o posibles infracciones de seguridad de la información solo analizando el comportamiento de los usuarios. Los equipos de gestión de riesgos dejarán de reaccionar para dedicarse a prevenir con una muy amplia anticipación.

2. Integración de los riesgos operativos con los de ciberseguridad

En un mundo cada día más interconectado y digital, cualquier riesgo de ciberseguridad se convierte también en operativo. Significa que una violación de seguridad puede anular la capacidad de la organización para operar. Es evidente, por ello, que la gestión de riesgos necesita integrarlos. Son amenazas interconectadas, relacionadas y, sobre todo, con consecuencias similares.

Por eso, las tendencias en gestión de riesgos para 2025 prevén evaluaciones de riesgos integrales, que aborden los riesgos cibernéticos a la par que los operativos. También se impondrán las plataformas unificadas que se ocupen de todas las posibles eventualidades, así como los equipos de trabajo en los que participen personas de todas las áreas. Los riesgos dejan de ser locales o específicos.

3. Riesgo climático

En este aspecto, las tendencias en gestión de riesgos se enmarcarán en tres vertientes: el trabajo para mitigar riesgos ambientales, la capacidad de adaptación a nuevas condiciones climáticas y la adopción de modelos ESG de gestión.

Los riesgos ambientales son prioritarios para las organizaciones por una cuestión de supervivencia, pero también de competitividad. Las empresas que logren disminuir o eliminar su huella de carbono tendrán una mejor percepción por parte de los consumidores y serán más apreciadas por inversores.

La capacidad para adaptarse a nuevas condiciones será clave para enfrentar el cambio climático como riesgo. Por supuesto, también está la capacidad de la organización para gestionar sus criterios ESG, pero esa es una de las tendencias en gestión de riesgos para 2025 que merece un capítulo aparte.

4. Integrar los factores ESG en la gestión de riesgos

Con la aparición de normativas que solicitan a las organizaciones informar sobre sus cuestiones ESG y sobre los resultados obtenidos, es evidente que estos factores adquieren un rol destacado en la gestión de riesgos.

Las organizaciones necesitarán establecer métricas e indicadores de riesgo e integrarlos en su gestión y en las evaluaciones de riesgos financieros. Es importante advertir que las empresas que no presenten informes ESG pueden quedar marginadas de recursos del sector financiero o de inversores públicos o privados.

También aparece un riesgo de cumplimiento implícito: precisamente, a partir de 2025, un buen número de organizaciones estarán obligadas a presentar informes ESG y de sostenibilidad. Esto hace que la integración de los factores ESG en la gestión de riesgos deje de ser opcional y se convierta en un asunto de competitividad y de cumplimiento.

Con estándares y regulaciones más exigentes, integrar la gestión ESG con la gestión de riesgos, sin duda, será una de las tendencias en gestión de riesgos en el nuevo año 2025.

5. Gestión de riesgos en la cadena de suministro

La gestión de riesgos de proveedores cobra cada vez más relevancia. Las cadenas de suministro globales se hacen vulnerables a muchas amenazas, por ello, centrarán algunas de las tendencias en gestión de riesgos.

En 2025 se espera que los profesionales especializados en este campo monitoreen de forma continua el acontecer geopolítico y su incidencia en puertos y medios de transporte, así como cualquier otro evento que pueda suspender de improviso el suministro.

6. Adaptabilidad de la gestión de riesgos

Una de las preocupaciones para los equipos de gestión de riesgos será la volatilidad y el dinamismo del entorno. El marco regulatorio, las cuestiones políticas y financieras, la tecnología o el comportamiento de los consumidores pueden sufrir giros de 180 grados. Por ello, una de las tendencias en gestión de riesgos será la de trabajar para crear sistemas ágiles, adaptables y flexibles.

Además, se tenderá hacia la toma de decisiones inmediatas y al uso de recurso tecnológicos adecuados que permitan monitorear todos los frentes y obtener información en tiempo real sobre la evolución de la gestión de riesgos, los problemas que parecen ser inminentes o los puntos críticos en los que se concentra un número inusual de amenazas.

7. Aumentar la capacidad de resiliencia

Los equipos de riesgos entienden que, por ahora, no todas las amenazas se podrán contener, en especial si se trata de eventos de baja probabilidad y alto impacto. Por eso, además de trabajar en la prevención y la gestión proactiva, habrá que hacerlo en la capacidad de resiliencia.

Las organizaciones y sus equipos de riesgos desarrollarán en 2025 estrategias que aseguren la continuidad del negocio con niveles mínimos de operabilidad. Es importante entender que la resiliencia no se refiere solo a la supervivencia, sino a la capacidad para regresar en poco tiempo a un nivel de operación normal.

8. La privacidad de los datos

La privacidad de los datos seguirá siendo una de las tendencias en gestión de riesgos. Sin embargo, es probable que el foco deje de estar sobre el RGPD. Dos razones para que esto sea así: la publicación de regulaciones y leyes similares alrededor del mundo y aparición de nuevas formas de atacar los sistemas de las empresas, que aún no cuentan con herramientas efectivas para contrarrestarlas.

El desafío para los equipos de riesgos será mantenerse al día con los cambios regulatorios alrededor del mundo, pero también con los avances tecnológicos que, desafortunadamente, no se limitan a los aspectos positivos.

9. Teletrabajo y trabajo remoto

El teletrabajo y el trabajo remoto ofrecen grandes oportunidades a empresas y trabajadores, pero también conllevan riesgos relacionados con la seguridad y la salud en el trabajo y con la seguridad de la información. Las tendencias en gestión de riesgos, en este campo, girarán en torno a la forma en que la organización puede ejercer controles y monitorear el trabajo sin llegar a ser intrusiva o invasiva.

Tomado de: https://www.escuelaeuropeaexcelencia.com/

ISO 31000. NORMA GUÍA PARA LA GESTIÓN DE RIESGOS Y OPORTUNIDADES

La ISO 31000 es una norma internacional que proporciona directrices y principios generales para la gestión de riesgos en cualquier organización, independientemente de su tamaño, sector o tipo.

Publicada por la Organización Internacional de Normalización (ISO), está diseñada para ayudar a las organizaciones a identificar, evaluar y mitigar riesgos de manera efectiva, fomentando una toma de decisiones informada. 

La versión 2018 es la última que ha sido emitida por ISO y está siendo sometida a revisión y actualización.

Principales características de la ISO 31000:

1. Enfoque basado en principios: Proporciona un marco de 8 principios clave:

- Creación y protección de valor.
- Parte integral de los procesos organizacionales.
- Toma de decisiones basada en evidencia.
- Consideración explícita de la incertidumbre.
- Enfoque sistemático, estructurado y puntual.
- Personalización según el contexto.
- Inclusión de las partes interesadas.
- Mejora continua.

2. Estructura del marco de gestión de riesgos:

-Integración: El proceso de gestión de riesgos debe integrarse en la cultura, la gobernanza y los procesos de la organización.

-Diseño del marco: Se deben considerar factores externos e internos para que la gestión de riesgos sea efectiva.

-Implementación y revisión: Se requiere una supervisión constante para garantizar que el sistema se mantenga alineado con los objetivos organizacionales.

3. Proceso de gestión de riesgos:

-Establecimiento del contexto: Definir los objetivos y el alcance del análisis de riesgos.

-Identificación de riesgos: Identificar los riesgos potenciales y sus fuentes.

-Análisis de riesgos: Evaluar las consecuencias y probabilidades de los riesgos identificados.

-Evaluación de riesgos: Priorizar los riesgos para determinar cuáles necesitan tratamiento.

-Tratamiento de riesgos: Implementar medidas para reducir, aceptar, compartir o evitar los riesgos.

-Monitoreo y revisión: Supervisar los riesgos y la efectividad de las medidas adoptadas.

-Comunicación y consulta: Garantizar que todas las partes interesadas estén informadas.

Beneficios de implementar la ISO 31000:

- Mejora la resiliencia organizacional.

 Optimiza la asignación de recursos.

- Reduce pérdidas y mejora la capacidad de adaptación ante cambios.

- Refuerza la confianza de las partes interesadas.

La ISO 31000 es de naturaleza flexible, por lo que no contiene requisitos específicos ni es certificable. Sin embargo, su adopción es un signo de buenas prácticas en la gestión de riesgos.

Tomado de: https://isotools.org/

 

CÓMO CONOCER EL GRADO DE MADUREZ DE TU GESTIÓN DE RIESGOS

Enfoque basado en Riesgos en ISO 9001:2015. Las organizaciones deben realizar un diagnóstico de su actual situación de cara a conocer el grado de madurez de gestión de riesgos que presentan.

La importancia de lo anterior reside en el hecho de que la nueva versión de 2015 de la norma ISO 9001 presta especial atención a la aplicación del conocido como Enfoque basado en riesgos.

Dicho enfoque basado en riesgos se pone de manifiesto mediante la identificación de potenciales riesgos y oportunidades y la implementación de unos efectivos controles sobre los procesos de gestión de calidad.

Este nuevo cambio viene recogido en el llamado Anexo SL, el cual establece una estructura de alto nivel que será de aplicación a todas aquellas normas de la familia ISO, que se creen nuevamente o se revisen.

Concretamente, en la norma ISO 9001:2015, el enfoque basado en riesgos se hace presente a lo largo de varias cláusulas de la misma.

Sin embargo, se deja notar en especial en los apartados referentes al enfoque basado en procesos, el liderazgo y en la planificación.

Con ello, vemos la necesidad de que las organizaciones cuenten con unas adecuadas herramientas que le permitan la gestión oportuna de riesgos y fortalecer los Sistemas de Gestión de las organizaciones.

Herramienta para conocer el grado de madurez de gestión de riesgos

Como vemos, bajo los nuevos requisitos de ISO 9001:2015 es muy importante la gestión de riesgos y oportunidades. Esto hace necesario que las organizaciones se esfuercen por lograr la mejora continua en cuanto a Gestión de Riesgos.

El paso previo para ello es conocer el grado de madurez de Gestión de Riesgos.

Un aspecto a considerar sobre la Gestión de Riesgos es que debe ser considerada como una parte integral en todos los procesos de la organización y ser aplicada de forma estructurada, sistemática y oportuna.

De manera concreta, conocer el grado de madurez de tu gestión de riesgos según ISO 9001:2015, permitirá a tu organización:

• Conocer el nivel en que grado tu organización da cumplimiento a los diferentes requisitos que ISO 9001:2015 establece sobre Gestión de Riesgos.
• Análisis del grado de madurez en Gestión de Riesgos de acuerdo a ISO 9001:2015 que presenta tu organización.
• Identificar las posibles áreas en las que sea necesario aplicar mejoras.

Un muy buen acercamiento a la gestión de os riesgos de manera acertada y clara, nos la da la norma internacional ISO 31000 y los métodos en la norma ISO 31010.

Tomado de: https://www.escuelaeuropeaexcelencia.com/

QUÉ ES LA ISO 31010 Y PARA QUÉ SIRVE

Si la ISO 31000 es la norma de referencia en gestión de riesgos, la ISO 31010 resulta fundamental para aplicar técnicas de identificación, evaluación y tratamiento de riesgos en una organización. 

Se trata, por tanto, de una norma más práctica, cuyo conocimiento resulta imprescindible para cualquier risk manager.

Identificar y evaluar riesgos permite a las organizaciones evitar desviaciones en la consecución de sus objetivos. Estos riesgos surgen como consecuencia de su propia actividad, por el contexto en el que actúa o por cuestiones operativas o estratégicas. Por lo tanto, la función de gestión de riesgos ayuda a reducir la incertidumbre dentro de la compañía y a convertir los riesgos en oportunidades.

El conjunto de técnicas recogidas en la ISO 31010 puede aplicarse en las diferentes fases y procesos de la gestión del riesgo, y puede ser útil para cualquier tipo de compañía, independientemente de su tamaño y del sector en el que opere.

ISO 31010 versión 2019: Novedades y estructura

La “ISO/IEC 31010 Gestión de riesgos. Técnicas de evaluación de riesgos” es una norma que nace en el año 2009. Si bien, diez años después, se publica una nueva versión: la ISO 3010:2019. Esta norma presenta 42 técnicas relacionadas con la gestión de riesgo en alguna de sus etapas. Respecto a la versión anterior, presenta las siguientes novedades:

Se amplía el número de técnicas.

Incluye algunas técnicas nuevas.

Se eliminan algunas de las anteriores.

El estándar internacional se estructura en siete puntos y dos anexos, siendo así su índice de capítulos:

• Alcance
• Referencias normativas
• Términos y definiciones
• Conceptos básicos
• Uso de las técnicas de evaluación de riesgo
• Implementación de evaluación de riesgos
• Selección de técnicas de evaluación de riesgos
• Anexo A
• Anexo B

Los siete puntos principales de la norma se centran en las peculiaridades de las diferentes fases de la gestión del riesgo. Con ello, se persigue el objetivo de tener una mejor comprensión de los criterios que se deben considerar para seleccionar una u otra técnica.

El anexo A especifica la forma en la que se pueden categorizar las técnicas, para saber cuál es la más aconsejable en cada caso. Por otro lado, es el anexo B de la ISO 31010 el que recoge la relación de todas y cada una de las técnicas de evaluación de riesgos, indicando para cada una de ellas, una breve descripción, sus principales usos, las entradas que requiere, las salidas que ofrece, sus fortalezas y limitaciones, así como las referencias normativas asociadas.

Una norma no certificable

Al igual que ocurre con la ISO 31000, la norma ISO 31010 no es una norma certificable. Y es que, su contenido no incluye requisitos para implantar ningún sistema de gestión. Por el contrario, incluye unas directrices, técnicas y consejos que se pueden aplicar en cualquier departamento de una compañía.

De hecho, es importante tener en cuenta que la norma no suministra criterios específicos para determinar cuál es la mejor técnica o herramienta para cada situación que pueda darse, ni especifica la forma en la que deben ejecutarse dichas técnicas. De igual forma, aunque existan técnicas que no aparezcan en la norma, esto no implica que no sean técnicas válidas para la gestión de riesgos.

Criterios para la elección de técnicas de evaluación

Tal y como indica la norma, a la hora de seleccionar la técnica o técnicas de evaluación de riesgos a emplear debe considerarse, en líneas generales, lo siguiente:

• El objetivo de la evaluación.
• Las necesidades de las partes interesadas.
• Los requisitos de índole legal, regulatoria o contractual.
• El contexto y escenario de operación.
• La importancia de la decisión.
• Cualquier criterio de decisión definido y su forma.
• El tiempo disponible para tomar la decisión.
• La información disponible o que puede ser obtenida.
• La complejidad de la situación.
• La competencia y conocimiento disponibles o que puedan obtenerse.

Teniendo en cuenta estos criterios, el risk manager podrá seleccionar aquella de las 42 técnicas que más útil pueda resultar en cada ocasión para evaluar los riegos. Entre ellas, encontramos técnicas como la simulación Montecarlo, la técnica Delphi, el análisis de causa y efecto, o el análisis de circuito furtivo (SNEAK).

Descarga de la ISO 31010:2019 en español

La Asociación de Profesionales de la Gestión del Riesgo y la Incertidumbre en habla hispana (APEGRI) está en proceso de traducción de la norma ISO 31010. No obstante, por ahora, la norma sólo es accesible en idioma inglés o francés. Por otro lado, no se trata de una norma de descarga gratuita, sino que el acceso a la misma supone un coste. En la página web del organismo ISO es posible conocer todos estos detalles.

Tomado de: https://www.ealde.es/