CÓMO REALIZAR EL TRATAMIENTO DE RIESGOS SEGÚN ISO 31000:2018

El objetivo del tratamiento de riesgos según ISO 31000:2018 es diseñar, evaluar, seleccionar e implementar acciones para abordar los riesgos identificados dentro de una organización.

El tratamiento de riesgos según ISO 31000:2018 es un proceso dinámico e iterativo que requiere:

• Formular opciones para el tratamiento de riesgo.
• Seleccionar la opción más adecuada.
• Planificar e implementar el tratamiento de riesgos.
• Evaluar la efectividad de las acciones implementadas.
• Calificar el riesgo residual (aceptable o no aceptable).
• Tratamiento para el riesgo residual no aceptable.

Cómo seleccionar las opciones de tratamiento de riegos según ISO 31000:2018

La selección de las opciones de tratamiento de riesgo que resulten más efectivas, requiere poner en una balanza los beneficios potenciales derivados de la efectividad de la acción propuesta, por un lado, y el coste, el esfuerzo y las desventajas que eventualmente pudiesen surgir como consecuencia de la implementación.

Las opciones de tratamiento de riesgos según ISO 31000:2018 no son excluyentes entre sí. Tampoco resultan eficaces en todas las circunstancias. Éstas pueden incluir una o varias de las siguientes acciones:

• Eliminar el riesgo prescindiendo del proceso, la actividad o las circunstancias que lo generan.
• Asumir el riesgo, aún aumentándolo, con el fin de incrementar una posible oportunidad.
• Tomar acciones para disminuir la probabilidad del riesgo.
• Implementar acciones que disminuyan el impacto negativo del riesgo..
• Compartir el riesgo (cláusulas en contratos o comprar pólizas de seguros)
• Retener el riesgo con base en información confiable.

Las variables con base en las cuales se realiza el tratamiento de riesgos según ISO 31000:2018 van más allá de las consideraciones económicas. Es preciso tener en cuenta las opiniones de las partes interesadas, las obligaciones y los objetivos de negocio de la organización.

El tratamiento de riesgos según ISO 31000:2018 aunque se diseñe e implemente en forma cuidadosa, puede no ofrecer los resultados esperados para la organización o para algunas partes interesadas. Por ello, el monitoreo y la revisión deben formar parte integral del proceso de tratamiento de riesgos a fin de garantizar que las acciones implementadas sigan siempre siendo efectivas.

En el proceso de tratamiento de riesgos, es posible que aparezcan amenazas para las que no tengamos opciones disponibles. Cuando las opciones de tratamiento no modifican en forma sustancial el riesgo, este debe registrarse y mantenerse en observación permanente.

Implementar planes de tratamiento de riesgos según ISO 31000:2018

La razón para implementar planes de tratamiento de riesgos es definir y especificar la forma en que se adoptarán las opciones elegidas, para que todas las partes interesadas las entiendan y sea posible monitorear el progreso del plan.

El plan de tratamiento de riesgos según ISO 31000:2018 debe identificar con claridad el orden en que se deben implementar las acciones, y la forma en que se integrará con los procesos de gestión de la organización, todo ello de acuerdo con las necesidades de las partes interesadas.

La información provista en el plan de tratamiento de riesgos debe incluir:

• Justificación para la elección de las opciones de tratamiento, incluyendo beneficios esperados.
• Quiénes son los responsables de aprobar e implementar el plan.
• Las acciones de tratamiento propuestas.
• Recursos requeridos, incluyendo los necesarios en caso de contingencia.
• Mediciones de rendimiento del plan.
• Limitaciones del plan.
• Acciones de monitoreo requeridas.
• Plazos esperados para que se completen las acciones.

Tomado de: https://www.escuelaeuropeaexcelencia.com