martes, 4 de agosto de 2015

A PROPÓSITO DE LA GESTIÓN CON ENFOQUE DE RIESGO

A propósito de los trascendentales cambios que tendrán este y el próximo año las más importantes Normas ISO (9001, 14001, 45001, entre otras), el pensamiento basado en el enfoque de riesgo ha tomado gran protagonismo. Por esta razón aquí le presentamos algunos elementos que nos ayudan a definir y precisar lo que es.

La gestión del riesgo en las normas ISO de alto nivel. Uno de los cambios fundamentales que incorporan las nuevas versiones de las normas ISO de alto nivel o HLS (27001:2013, 9001:2015, 14001:2015, etc…), consiste en establecer un enfoque sistemático de los riesgos, en lugar de tratarlos como un componente más de un sistema de gestión.

En ediciones anteriores de la mayor parte de las normas, existía una cláusula que definía el contenido y los términos de las acciones preventivas, necesarias para la mejora continua. Pues bien, en las nuevas ediciones, el riesgo es considerado e incluido a lo largo de todas las cláusulas y partícipe de todos los procesos.

Es decir que, al adoptar un enfoque basado en el riesgo, cualquier organización se convierte en proactiva en lugar de reactiva como anteriormente. La misión de todo ello es prevenir o reducir los efectos no deseados de los escenarios de riesgo, cuya materialización pueda hacer que los objetivos empresariales y, por ello, los de los diferentes sistemas no lleguen a cumplirse, a la par de promover la mejora continua. O, lo que es lo mismo, que la acción preventiva se convierte en automática cuando tenemos un sistema de gestión basado en la percepción y gestión continua del riesgo al que estamos expuestos.

A decir verdad, la gestión del riesgo es algo que todos hacemos de forma automática y, a menudo, de manera inconsciente puesto que forma parte de nuestra rutina diaria de “integridad” personal.  Nuestro pensamiento (salvo el de los inconscientes) está basado en el riesgo. Al saltarnos un semáforo con el coche todos evaluamos el riesgo y tomamos una u otra decisión, más o menos acertada, basándonos en nuestras propias necesidades. No obstante, cuando pensamos en riesgo, la idea general es la de la visión negativa. Cuando lo que esta nueva visión aportada por las normas nos pretende inculcar es que el pensamiento basado en riesgo también puede ayudarnos a identificar las oportunidades.

Si esto lo aplicamos al ejemplo de saltarnos con el coche un semáforo en rojo, nuestro primer pensamiento puede ser el que, haciéndolo, tendremos la oportunidad de llegar antes al sitio al que nos dirigimos; pero existe un índice de riesgo elevado de que tengamos un choque contra otros vehículos. Mientras que este índice de riesgo de accidente se reduciría considerablemente si esperásemos a que el semáforo se pusiese en verde para poder pasar. Pero quizás esta opción haría que, al llegar más tarde al sitio al que nos dirigíamos, perdiésemos la oportunidad de cerrar una operación importante.

Una oportunidad, por tanto, no siempre está directamente relacionada con el riesgo puesto que, incluso habiendo optado por la decisión con menos riesgo, podríamos haber llegado a tiempo; pero lo que sí está claro es que siempre está relacionada con los objetivos, en este supuesto, cerrar la operación. La mejora empieza cuando, al considerar una situación bajo este prisma, podemos identificar oportunidades de mejora. Por ejemplo, y aplicado a este caso, tomar una autopista de peaje que, aunque nos suponga un coste adicional nos permita llegar sin sobresaltos e, incluso, comprar un detalle por el camino para asegurarnos el éxito, o bien hacer una llamada que no habíamos tenido en cuenta para convocar a alguien más que llegue antes que nosotros y nos permita que la operación no es escape. Todo esto no sería posible sin una perspectiva ni un análisis previo, puesto que cualquier acción que tomemos va a cambiar el contexto.

Conclusión: Uno de los principales objetivos de las normas ISO de alto nivel, es el de proporcionar la confianza necesaria en la capacidad de la organización para gestionar sus sistemas como herramientas y no como barreras para conseguir los objetivos que se han marcado. Suena bien ¿No? Seguiremos ahondando en ello.

Niveles de abstracción en la gestión del riesgo. La tendencia al alza es la realización de evaluaciones de riesgo. Todas las normas ISO de alto nivel (HLS) lo están estableciendo así, usando como marco la nueva ISO 31000. Comenzó por la ISO 22301 (Continuidad) y  la ISO 27001 (Seguridad de la Información); pero ya sabemos que, antes de que termine el año, se sumarán a este selecto club la ISO 9001 (Calidad) y la 14001 (Medioambiente). La pregunta que quiero trasladar aquí es ¿Cómo sabemos qué nivel de profundidad en la evaluación de riesgos es el suficiente?

Las evaluaciones del riesgo se pueden realizar con diferentes grados de abstracción. Los que venimos del mundo de la seguridad, estamos acostumbrados a llegar a nivel de activos, amenazas, vulnerabilidades… Pero lo que también sabemos es que este tipo de análisis de alto nivel habla un lenguaje demasiado profundo que, en ocasiones, no conecta con otras áreas de la empresa; esto hace que la tarea de analizar los riesgos y definir los umbrales de tratamiento sea compleja, mal comprendida y sus consecuencias, a veces, no respondan a la realidad del problema que se pretende atajar.

Y se trata entonces de un tremendo error y una gran pérdida de tiempo, puesto que, sin una comprensión de alto nivel de los riesgos, el Director General o el Presidente de una entidad no será capaz de proporcionar el necesario apoyo para su gestión y su alineación con los objetivos corporativos.


Independientemente de si estamos realizando un proceso de gestión del riesgo en base a las necesidades de "compliance" de nuestra empresa, o simplemente como la base para una adecuada gestión y seguimiento de los mismos, la pregunta sigue siendo: “¿Cuánto es suficiente?”. ¿Tengo que hacer participar a cada administrador de sistemas en la revisión de los riesgos que son su responsabilidad? Y, si esto es así, ¿Cómo podría afectar esto a nuestro perfil de riesgo? ¿Deben participar todas las áreas de la empresa? ¿Tan solo los jefes de departamento? O ¿Es el gestor del sistema el que se sienta delante de su aplicación de evaluación de riesgos y trata de evaluarlo todo él mismo?

Como tantas veces en la vida, la respuesta es: depende. Los métodos varían en función del tamaño, la complejidad y las capacidades de la organización.

A continuación definimos y precisamos algunos conceptos importantes en relación con el pensamiento enfocado en el riesgo:

¿Qué es el Riesgo? Es un evento que si ocurre puede tener un efecto positivo (oportunidad) o negativo (amenaza) sobre un activo. Es el efecto de la incertidumbre sobre los objetivos de una organización
¿Qué es la probabilidad? Es el índice que refleja la posibilidad de que algo pueda suceder. Puede ser definida, determinada y medida de forma objetiva o subjetiva. Y puede expresarse cualitativa o cuantitativamente.
¿Qué es una consecuencia? Es el resultado de un evento y tiene impacto sobre los objetivos de la organización. Un solo evento puede generar una serie de consecuencias, que pueden tener tanto efectos positivos como negativos en los objetivos.
¿Qué es una fuente de riesgo? Es de dónde viene o lo que lo origina. Puede tratarse de relaciones comerciales, obligaciones contractuales, responsabilidades legales, requisitos normativos, cambios económicos, innovaciones tecnológicas, cambios políticos, eventos de la naturaleza, debilidades humanas… Potencialmente, todos estos elementos podrían generar un riesgo que debe ser gestionado.
¿Qué es un evento? Un evento es algo que ocurre o incluso algo que no llega a ocurrir (cuando se suponía que sí iba a suceder). También puede ser un cambio en las circunstancias. Los eventos son a veces conocidos como incidentes. Siempre tienen causas y suelen tener consecuencias.
¿Qué es un control? Es cualquier medida o acción que modifica el riesgo. Los controles incluyen políticas, procedimientos, prácticas, procesos, tecnologías, técnicas, métodos, etc.
¿Qué es el análisis de riesgos? Es un proceso necesario para comprender la naturaleza, fuentes y causas de los riesgos previamente identificados; para así poder estimar el nivel de riesgo.
¿Qué es la evaluación del riesgo? Es un proceso que permite comparar los resultados del análisis de riesgos con los criterios de riesgo, con el fin de determinar si el nivel de riesgo es aceptable y/o tolerable.
¿Qué es la identificación de riesgos? Es un proceso destinado a encontrar, reconocer y describir los riesgos que puedan afectar a la consecución de los objetivos de la organización. De acuerdo a la metodología establecida por la ISO 31000, debe basarse en escenarios o perfiles de riesgo.
¿Qué es un escenario de riesgo? Es la combinación de actor, amenaza, evento, activo y tiempo.
¿Qué o quién es una parte interesada? Una parte interesada, o stakeholder, es una persona u organización, que puede influir en, o ser afectada por, una decisión o una actividad. Entre las partes interesadas también se incluyen aquellos que tienen conocimiento de ello, aunque no sean participantes directos. Pueden ser externas o internas.
¿Quién es el propietario del riesgo? El propietario o responsable del riesgo es una persona o entidad a la que se ha dado la autoridad para valorar y gestionar un riesgo en particular, por lo que debe rendir cuentas por ello.
¿Qué es un plan de tratamiento del riesgo? Se trata de un conjunto de actividades priorizadas, en las que se describen los componentes de gestión, el enfoque, y los recursos que se utilizarán para la gestión de riesgo.  Dentro de estos componentes encontramos procedimientos, prácticas, responsabilidades y actividades (incluyendo su secuencia y el calendario).
¿Qué son los criterios de gestión del riesgo? Se trata de la actitud de una organización acerca de cómo serán sus riesgos evaluados y tratados. Es decir, si se aceptan, se toleran, se tratan, se reducen, se transfieren, se evitan o se posponen.
¿Qué es un marco de gestión del riesgo? Es un conjunto de componentes que apoyan y sustentan la gestión de riesgos en toda la organización. Los marcos tienen 2 componentes: Los fundamentos y los elementos organizativos.
Los fundamentos comprenden la política de gestión, los objetivos, el mandato y el compromiso. Y como elementos organizativos tenemos los planes, las relaciones, los elementos de control, los recursos, los procesos y las actividades que son utilizadas para gestionar el riesgo de su organización.

Tomado y adaptado de:
http://www.krio.es/conceptos-krio/