¿Por qué es necesario desarrollar una estrategia de tratamiento de riesgos en ISO 31000?…
Pues bien. Muchas veces hemos hablado acerca de la necesidad de identificar, analizar, evaluar y calificar los riesgos, con el fin de establecer el tratamiento adecuado para cada uno de ellos, que, de acuerdo con sus características se puede reducir, eliminar, retener o compartir.
Las organizaciones pueden decidir retener un riesgo, si lo considera inevitable, o si este se encuentra dentro de un nivel de tolerancia aceptable para la organización. Después de todo, no debemos olvidar que existen organizaciones que son capaces de encontrar grandes oportunidades y resultados positivos en la gestión de sus riesgos.
Sobre todo, para este tipo de organizaciones, resulta esencial desarrollar una estrategia de tratamiento de riesgos en ISO 31000.
Estrategia de tratamiento de riesgos en ISO 31000
Una estrategia de tratamiento de riesgos, requiere la implementación de una serie de procesos, acordes con los requisitos de la norma. Veamos los más representativos:
- Definición de las opciones de tratamiento de riesgo.
- Implementación de las acciones requeridas para cada tipo de riesgo.
- Determinación, evaluación y calificación del riesgo residual.
- Establecimiento de controles, en el caso de que el riesgo residual sea muy alto.
- Considerar la posibilidad de tratar el riesgo a mediano y largo plazo.
Una estrategia de tratamiento de riesgos en ISO 31000 no es eficaz siempre. Requiere revisión y actualización, en la medida que cambien los objetivos, el contexto, la estrategia de negocios de la organización, o los factores externos, como la situación política o las condiciones económicas del país, por ejemplo.
El riesgo residual en la estrategia de tratamiento de riesgos en ISO 31000
La organización debe establecer un equilibrio entre los posibles beneficios de retener un riesgo y el coste potencial o impacto negativo que este puede representar.
El riesgo residual es entonces, el impacto negativo que puede producir un riesgo retenido, una vez hemos aprovechado sus oportunidades o sus beneficios. El riesgo residual siempre debe ser considerado en la estrategia de tratamiento de riesgos en ISO 31000.
Existen varias alternativas para minimizar el riesgo residual, reducir su probabilidad de ocurrencia, o mitigar el impacto negativo. Veamos un ejemplo:
Un riesgo inevitable para una organización puede ser el daño causado por el fuego en sus archivos de papel. Sin embargo, la organización puede eliminar este riesgo, digitalizando su información y almacenándola en la nube.
Aunque la organización puede considerar que esta opción le puede generar nuevos riesgos a pesar de la oportunidad y beneficios que le aporta tener su información siempre disponible desde cualquier lugar y en cualquier momento.
Existe un riesgo residual por supuesto. ¿Cómo mitigarlo? Una opción es asegurarse de que el proveedor del almacenamiento cloud cumple con estrictas medidas de seguridad.
¿Cómo debe ser una estrategia de tratamiento de riesgos?
Una estrategia de tratamiento de riesgos debe ser precisa, aportar información clara y estas perfectamente documentada. En ella se deben estipular los criterios de evaluación y análisis de riesgo, definir las acciones a seguir e identificar a los responsables de cada una de ellas.
Una buena estrategia de tratamiento de riesgos establecerá cuáles son los riesgos evaluados, cuál es la forma de tratarlos, quién es el responsable, cuáles son los plazos estipulados para cada acción y cuáles son los requisitos de los informes que deben producir las personas responsables.
Tomado de: https://www.isotools.org/
No hay comentarios.:
Publicar un comentario