A propósito de los trascendentales cambios que tendrán este y el próximo año las más importantes Normas ISO (9001, 14001, 45001, entre otras), el pensamiento basado en el enfoque de riesgo ha tomado gran protagonismo. Por esta razón aquí le presentamos algunos elementos que nos ayudan a definir y precisar lo que es.
La gestión del riesgo en las normas ISO de alto nivel. Uno de los cambios fundamentales
que incorporan las nuevas versiones de las normas ISO de alto nivel o HLS (27001:2013,
9001:2015, 14001:2015, etc…), consiste en establecer un enfoque sistemático
de los riesgos, en lugar de tratarlos como un componente más de un sistema de
gestión.
En ediciones anteriores de la
mayor parte de las normas, existía una cláusula que definía el contenido y los
términos de las acciones preventivas, necesarias para la mejora continua. Pues
bien, en las nuevas ediciones, el riesgo es considerado e incluido a lo largo
de todas las cláusulas y partícipe de todos los procesos.
Es decir que, al
adoptar un enfoque basado en el riesgo, cualquier organización se
convierte en proactiva en lugar de reactiva como anteriormente. La misión de
todo ello es prevenir o reducir los efectos no deseados de los escenarios de
riesgo, cuya materialización pueda hacer que los objetivos empresariales y, por
ello, los de los diferentes sistemas no lleguen a cumplirse, a la par de
promover la mejora continua. O, lo que es lo mismo, que la acción preventiva se
convierte en automática cuando tenemos un sistema de gestión basado en la
percepción y gestión continua del riesgo al que estamos expuestos.
A decir verdad, la gestión del
riesgo es algo que todos hacemos de forma automática y, a menudo, de manera
inconsciente puesto que forma parte de nuestra rutina diaria de “integridad”
personal. Nuestro pensamiento (salvo el de los inconscientes) está basado
en el riesgo. Al saltarnos un semáforo con el coche todos evaluamos el riesgo y
tomamos una u otra decisión, más o menos acertada, basándonos en nuestras
propias necesidades. No obstante, cuando pensamos en riesgo, la idea general es
la de la visión negativa. Cuando lo que esta nueva visión aportada por las
normas nos pretende inculcar es que el pensamiento basado en riesgo también
puede ayudarnos a identificar las oportunidades.
Si esto lo aplicamos al ejemplo
de saltarnos con el coche un semáforo en rojo, nuestro primer pensamiento puede
ser el que, haciéndolo, tendremos la oportunidad de llegar antes al sitio al
que nos dirigimos; pero existe un índice de riesgo elevado de que tengamos un
choque contra otros vehículos. Mientras que este índice de riesgo de accidente
se reduciría considerablemente si esperásemos a que el semáforo se pusiese en
verde para poder pasar. Pero quizás esta opción haría que, al llegar más tarde
al sitio al que nos dirigíamos, perdiésemos la oportunidad de cerrar una
operación importante.
Una oportunidad, por tanto, no
siempre está directamente relacionada con el riesgo puesto que, incluso
habiendo optado por la decisión con menos riesgo, podríamos haber llegado a
tiempo; pero lo que sí está claro es que siempre está relacionada con los
objetivos, en este supuesto, cerrar la operación. La mejora empieza cuando, al considerar
una situación bajo este prisma, podemos identificar oportunidades de mejora.
Por ejemplo, y aplicado a este caso, tomar una autopista de peaje que, aunque
nos suponga un coste adicional nos permita llegar sin sobresaltos e, incluso,
comprar un detalle por el camino para asegurarnos el éxito, o bien hacer una
llamada que no habíamos tenido en cuenta para convocar a alguien más que llegue
antes que nosotros y nos permita que la operación no es escape. Todo esto no
sería posible sin una perspectiva ni un análisis previo, puesto que cualquier
acción que tomemos va a cambiar el contexto.
Conclusión: Uno de los
principales objetivos de las normas ISO de alto nivel, es el
de proporcionar la confianza necesaria en la capacidad de la organización
para gestionar sus sistemas como herramientas y no como barreras para
conseguir los objetivos que se han marcado. Suena bien ¿No? Seguiremos
ahondando en ello.
Niveles de abstracción en la gestión del riesgo. La tendencia al alza es la
realización de evaluaciones de riesgo. Todas las normas ISO de alto nivel (HLS) lo están estableciendo así,
usando como marco la nueva ISO
31000. Comenzó por la ISO 22301 (Continuidad)
y la ISO 27001 (Seguridad
de la Información); pero ya sabemos que, antes de que termine el año, se
sumarán a este selecto club la ISO
9001 (Calidad) y la 14001 (Medioambiente). La pregunta que quiero trasladar aquí
es ¿Cómo sabemos qué nivel de
profundidad en la evaluación de riesgos es el suficiente?
Las evaluaciones del riesgo se
pueden realizar con diferentes grados de abstracción. Los que venimos del mundo
de la seguridad, estamos acostumbrados a llegar a nivel de activos, amenazas,
vulnerabilidades… Pero lo que también sabemos es que este tipo de análisis de
alto nivel habla un lenguaje demasiado profundo que, en ocasiones, no conecta
con otras áreas de la empresa; esto hace que la tarea de analizar los riesgos y
definir los umbrales de tratamiento sea compleja, mal comprendida y sus
consecuencias, a veces, no respondan a la realidad del problema que se pretende
atajar.
Y se trata entonces de un
tremendo error y una gran pérdida de tiempo, puesto que, sin una comprensión de
alto nivel de los riesgos, el Director General o el Presidente de una entidad
no será capaz de proporcionar el necesario apoyo para su gestión y su alineación
con los objetivos corporativos.
Independientemente de si estamos
realizando un proceso de gestión del riesgo en base a las necesidades de "compliance" de nuestra empresa, o simplemente como la base para una adecuada
gestión y seguimiento de los mismos, la pregunta sigue siendo: “¿Cuánto es
suficiente?”. ¿Tengo que hacer participar a cada administrador de sistemas en
la revisión de los riesgos que son su responsabilidad? Y, si esto es así, ¿Cómo
podría afectar esto a nuestro perfil de riesgo? ¿Deben participar todas las
áreas de la empresa? ¿Tan solo los jefes de departamento? O ¿Es el gestor del
sistema el que se sienta delante de su aplicación de evaluación de riesgos y
trata de evaluarlo todo él mismo?
Como tantas veces en la vida, la
respuesta es: depende. Los métodos varían en función del tamaño, la complejidad
y las capacidades de la organización.
A continuación definimos y
precisamos algunos conceptos importantes en relación con el pensamiento
enfocado en el riesgo:
¿Qué es el Riesgo? Es un evento que si ocurre puede tener un efecto
positivo (oportunidad) o negativo (amenaza) sobre un activo. Es el efecto de la
incertidumbre sobre los objetivos de una organización
¿Qué es la probabilidad? Es el índice que refleja la posibilidad de
que algo pueda suceder. Puede ser definida, determinada y medida de
forma objetiva o subjetiva. Y puede expresarse cualitativa o
cuantitativamente.
¿Qué es una consecuencia? Es el resultado de un evento y tiene
impacto sobre los objetivos de la organización. Un solo
evento puede generar una serie de consecuencias, que pueden tener tanto
efectos positivos como negativos en los objetivos.
¿Qué es una fuente de riesgo? Es de dónde viene o lo que lo
origina. Puede tratarse de relaciones comerciales, obligaciones
contractuales, responsabilidades legales, requisitos normativos, cambios
económicos, innovaciones tecnológicas,
cambios políticos, eventos de la naturaleza, debilidades humanas…
Potencialmente, todos estos elementos podrían generar un riesgo que debe
ser gestionado.
¿Qué es un evento? Un evento es algo que ocurre o
incluso algo que no llega a ocurrir (cuando se suponía que sí iba
a suceder). También puede ser un cambio en las circunstancias. Los eventos
son a veces conocidos como incidentes. Siempre tienen causas y suelen
tener consecuencias.
¿Qué es un control? Es cualquier medida o acción que modifica el
riesgo. Los controles incluyen políticas, procedimientos, prácticas, procesos,
tecnologías, técnicas, métodos, etc.
¿Qué es el análisis de riesgos? Es un proceso necesario para
comprender la naturaleza, fuentes y causas de los riesgos previamente
identificados; para así poder estimar el nivel de riesgo.
¿Qué es la evaluación del riesgo? Es un proceso que
permite comparar los resultados del análisis de riesgos con los
criterios de riesgo, con el fin de determinar si el nivel de riesgo es
aceptable y/o tolerable.
¿Qué es la identificación de riesgos? Es un proceso destinado a
encontrar, reconocer y describir los riesgos que puedan afectar a la
consecución de los objetivos de la organización. De acuerdo a la metodología
establecida por la ISO 31000, debe basarse en escenarios o perfiles de
riesgo.
¿Qué es un escenario de riesgo? Es la combinación de actor,
amenaza, evento, activo y tiempo.
¿Qué o quién es una parte interesada? Una parte interesada, o
stakeholder, es una persona u organización, que puede influir en, o
ser afectada por, una decisión o una actividad. Entre las partes
interesadas también se incluyen aquellos que tienen conocimiento de ello,
aunque no sean participantes directos. Pueden ser externas o internas.
¿Quién es el propietario del riesgo? El propietario o responsable
del riesgo es una persona o entidad a la que se ha dado la
autoridad para valorar y gestionar un riesgo en particular, por lo que
debe rendir cuentas por ello.
¿Qué es un plan de tratamiento del riesgo? Se trata de un conjunto
de actividades priorizadas, en las que se describen los componentes
de gestión, el enfoque, y los recursos que se utilizarán para la gestión
de riesgo. Dentro de estos componentes encontramos procedimientos,
prácticas, responsabilidades y actividades (incluyendo su secuencia y el
calendario).
¿Qué son los criterios de gestión del riesgo? Se trata de la
actitud de una organización acerca de cómo serán sus riesgos evaluados y
tratados. Es decir, si se aceptan, se toleran, se tratan, se reducen, se
transfieren, se evitan o se posponen.
¿Qué es un marco de gestión del riesgo? Es un conjunto
de componentes que apoyan y sustentan la gestión de riesgos en toda
la organización. Los marcos tienen 2 componentes: Los fundamentos y los
elementos organizativos.
Los fundamentos
comprenden la política de gestión, los objetivos, el mandato y el
compromiso. Y como elementos organizativos tenemos los planes,
las relaciones, los elementos de control, los recursos, los procesos y las
actividades que son utilizadas para gestionar el riesgo de su
organización.
Tomado y adaptado de:
http://www.krio.es/conceptos-krio/
