Mostrando las entradas con la etiqueta iso 31022. Mostrar todas las entradas
Mostrando las entradas con la etiqueta iso 31022. Mostrar todas las entradas

martes, 5 de julio de 2022

¿CUÁLES SON LAS VARIABLES A TENER EN CUENTA EN LA GESTIÓN DE RIESGOS?

La gestión de riesgos nos facilita la comprensión de las amenazas y nos permite tomar decisiones de una forma mucho más sencilla, se realiza mediante la prevención de los posibles riesgos que se pueden llevar a cabo en la empresa.

Durante la realización de mapa de riesgos influyen diferentes características y la naturaleza de la organización, además de los distintos tipos de riesgos o amenazas.

Las variables de probabilidad y de impacto cualitativo y cuantitativo, nos generan un mapa de calor, esto se encuentra relacionado con el riesgo, los límites y la tolerancia. Es necesario realizar una representación gráfica sobre los objetivos estratégicos de las empresas en los que se sitúan los riesgos más representativos para la organización, y que afectan a la toma de decisiones. Las medidas que se deben adoptar dependen de la probabilidad y el impacto que generan los riesgos:
  • Probabilidad: es la posibilidad de que un riesgo pueda ocurrir en el desarrollo de la actividad que se tiene que realizar.
  • Impacto cualitativo: una valoración realizada a través de las características que tienen como base un escenario de amenaza sobre los activos.
  • Impacto cuantitativo: es el efecto económico de la materialización de riesgo.
Realizar representaciones gráficas contribuye a que los altos mandos de las organizaciones conozcan la situación de la empresa. Las empresas reducen, asumen o transfieren los riesgos según la probabilidad de que se produzcan o el impacto que generen. En el mapa de riesgo también existe un hueco para la toma de decisiones planificadas por la organización como respuesta para los riesgos.

Con la herramientas de administración de riesgos existentes en el mercado, las organizaciones cuentan con un aplicativo que permite explotar información y apoyar la toma de las decisiones de forma muy visual, lo que puede ser de gran ayuda para presentar informes a la dirección.

Queremos demostrar que el éxito de la empresa depende del riesgo que estamos dispuestos a asumir y cómo somos capaces de gestionarlos. Para implementar una gestión de riesgo necesitamos el apoyo de la alta dirección.

La visión de la alta dirección en cuanto a los riesgos.

Es necesario que conozcamos la organización por lo que nos debemos preguntar ¿Cómo es la empresa? Seguidamente es necesario analizar los riesgos, por lo que debemos preguntarnos ¿Qué riesgos amenazan a la empresa? Para llevar a cabo la gestión de riesgos es necesario conocer cuáles son los tratamientos que se le darán a los riesgos desde dicha organización, y finalmente, debemos que analizar los sistemas de control, por lo que la pregunta sería ¿Están controlados los riesgos?
Las organizaciones reducen, asumen o transfieren los #riesgos. Esta labor, sistemática, ayuda de manera permanente a alcanzar objetivos, al éxito corporativo y a la satisfacción de clientes y partes interesadas. Eso es #MejoraContinua
Los objetivos son:
  • Mejorar la gestión de riesgos, en cualquier situación.
  • Realizar de forma eficaz los planes de negocio adaptados a los riesgos.
  • Es necesario realizar una fase preventiva para minimizar los efectos que se derivan de factores internos o externos.
  • Genera valor añadido para la organización.
  • Será necesario conocer la política de riesgos de la empresa.
  • Saber cuáles son los sujetos afectados por los riesgos.
  • Evaluar los riesgos de forma cuantitativa o cualitativa.
  • Determinar el control interno sobre todos los riesgos.
  • Casar a los riesgos con las políticas de seguros.
  • Conocer el nivel de comunicación entre los implicados y el control. Es necesario que entre los diferentes departamentos de la organización exista una buena comunicación.
Se incluye desde el más alto cargo hasta el de menor cargo, es necesario que la gestión de riesgos se encuentre arropado por el gobierno corporativo. Es necesario conocer hasta que límite puedo llegar a la hora de tolerar dicho límite, se puede utilizar un desplegable de riesgos pero se deben dividir en diferentes niveles. Para poder cualificar los riesgos se utiliza un histórico sobre lo que ha pasado y puede volver a suceder, siendo más fácil evitar que vuelvan a suceder.

Es necesario establecer controles que nos ofrece el riesgo residual, ya que existen muchos riesgos que no se pueden controlar. Con esto se genera un informe para comunicarlo de forma externa o interna. Y todas las normas que nos obligan a implantar la gestión de riesgos nos dicen que el consejo de administración tiene la obligación, al menor coste posible, de facilitarle recursos y personal formado para poder implementarlo.

Con una herramienta de sistematización de riesgos, éstos son denominados como entidades en sí mismos, que pueden ser clasificados, identificados y gestionados en cuanto a diferentes aspectos. 

Gracias a esta clasificación el riesgo, siempre será el mismo aunque se le modifique el nombre. Esto nos permite tener una trazabilidad del riesgo a lo largo de tiempo. Además encontramos un ciclo de vida, con el que conoceremos quien identificó el producto, como se realizó el control, etc.

Tomado de: https://www.isotools.org/
Publicadas por a la/s No hay comentarios.:
Etiquetas: , , , , , ,

jueves, 26 de mayo de 2022

METODOLOGÍAS MÁS UTILIZADAS PARA LA GESTIÓN DE RIESGOS

La identificación y gestión de riesgos en las organizaciones es un aspecto clave del que depende en gran parte el éxito de la organización.

Su permanencia en el mercado y hasta el bienestar de las partes involucradas en la gestión de la misma, pueden depender de manera determinantes de la gestión de los riesgos, cómo lo hemos tratado en otros artículos, la gestión de riesgos tiene un espectro amplio de aplicación tanto en temas corporativos, de seguridad y salud, de medio ambiente, de seguridad de la información, entre otros.

Por ello existen diferentes metodologías propuestas para la gestión de los mismos, si bien la organización puede definir su propia metodología, o adaptar alguna existente de acuerdo a las necesidades, a continuación encontrará una breve referencia de las más utilizadas, en el caso de las normas ISO se debe tener en cuenta que debido a su estructura de alto nivel los pasos generales están relacionados en las diferentes normas, lo que se modificará es el enfoque de los mismos dependiendo del tema que se aborde en cada una de ellas.

ISO 310001

Tiene como finalidad, establecer lineamientos, directrices para la gestión de riesgos en esta se destacan las siguientes etapas para la gestión:
  • Establecer el alcance: se refiere a que la organización debe definir la dimensión, los niveles o procesos en los que gestionará actividades para la gestión del riesgo.
  • Definir el contexto: realizar el análisis de su entorno tanto interno como externo, para definir los factores que pueden ser origen de riesgos.
  • Evaluar el riesgo: para ello se debe realizar inicialmente la identificación del mismo, posteriormente realizar un análisis mediante variables que definan el nivel del riesgo, y por último la valoración que implica comparar el resultado del riesgo en el análisis vs el resultado de la valoración para establecer planes de tratamiento.
  • Plan de tratamiento: establecer actividades, responsables, metas y fechas de cumplimiento para dar respuesta a los riesgos encontrados.
  • Seguimiento y revisión: monitoreo de los resultados y establecimiento de nuevos planes de tratamiento de ser necesario.
ISO 27005

Establece lineamientos para a gestión de riesgos relacionados con la seguridad de la información, establece cuatro pasos fundamentales para la implementación de la misma:Establecer el contexto.
Identificación de los riesgos relacionados con seguridad de la información.
Análisis.
Evaluación.

Al respecto también es importante tener en cuenta en el caso de los riesgos de seguridad de la información, establecer un inventario y calificación de activos de la información que se integran posteriormente a la gestión de los riesgos.

ISO 31022-2020

Establece una guía para las actividades que deben desarrollar las organizaciones para la gestión del riesgo legal a través de las siguientes etapas:
  • Establecer el contexto (Teniendo en cuenta los aspectos más relevantes)
  • Evaluación del riesgo legal.
  • Tratamiento del riesgo legal.
  • Mecanismos de consulta y reportes acerca de la gestión del riesgo legal.
Project Management Iinstitute (Gestión de riesgos en proyectos)

Establece una metodología que permite maximizar la probabilidad yo el impacto de los riesgos positivos y minimizar la probabilidad o el impacto de los riesgos negativos, enfocados en el logro del éxito de los proyectos, establece los siguientes pasos:
  • Planificación de la gestión de riesgos.
  • Identificación de los riesgos.
  • Realizar análisis cualitativo y cuantitativo de los riesgos.
  • Establecer e implementar las respuestas ante los riesgos.
  • Realizar seguimiento y monitoreo.
Existen metodologías que apoyan la medición, la cuantificación de los riesgos, entre la más conocidas encontramos:
  • Método DELPHI: consiste en una metodología en la que un panel de expertos realiza discusiones acerca de las causas técnicas, científicas y económicas de un evento, en este caso enfocados al análisis de riesgos para al final llegar a soluciones en común.
  • Mapa de Riesgos: herramienta que se basa en la identificación de los procesos o actividades que pueden dar origen a los riesgos cuantificando la probabilidad e impacto (a través de niveles cuali-cuantitativos) en caso de que se materialice el riesgo y se puede aplicar en cualquier modelo de negocio.
  • Magerit V3: metodología creada por Consejo Superior de Administración Electrónica de España, enfocada en la gestión de los riesgos relacionados con las tecnologías de la información y las comunicaciones, tomando en cuenta las dimensiones de disponibilidad, integridad y confidencialidad, establece un modelo que integra la gestión de riesgos con los pasos y lineamientos de la norma ISO 31000 y se complementa con la gestión de los activos que establece que se debe realizar una identificación , establecer la dependencia entre activos, y la valoración de los mismos.
  • Indicador Clave de riesgos (KRI- Key Risk Indicators): corresponde a indicadores que ayudan a conocer que tan posible es que se materialice un riesgo y el impacto que este generaría, ejemplo: el riesgo de interrupción del trabajo por causa de la interrupción del servicio de internet se podría medir de la siguiente forma, Horas acumuladas en el mes sin servicio de internet, para este tipo de indicadores es muy importante establecer los límites, ejemplo si el tiempo sin servicio es mayor o igual a 10 horas el riesgo es Alto, entre 5 y 9 horas es medio, y entre 0 y 5 horas es básico, es importante basarse en la mediciones históricas y establecer planes de tratamiento al respecto.
IEC 31010:

La norma IEC 31010 proporciona orientaciones sobre la selección y aplicación de técnicas útiles para la evaluación del riesgo. http://ideacalidad.blogspot.com/2019/11/iec-31010-2019-gestion-de-riesgos.html 

Tomado de: https://www.isotools.org/ 
Publicadas por a la/s No hay comentarios.:
Etiquetas: , , , , , , ,
Suscribirse a: Entradas (Atom)