La evaluación de riesgos según ISO 31000:2018 es un proceso dinámico, sistemático y repetitivo que pretende identificar, calificar y evaluar las amenazas a las que está expuesta una organización, con el fin de tomar las acciones necesarias para eliminar, mitigar, compartir o tratar los riesgos.
La evaluación de riesgos según ISO 31000:2018 exige información, conocimiento y discusiones en las que se incorporen los puntos de vista de las partes interesadas. Esta información debe ser actualizada, relevante y directamente asociada a los riesgos que se evaluarán.
Cómo realizar la evaluación de riesgos según ISO 31000:2018
El propósito inicial es encontrar, reconocer y describir los riesgos que pueden eventualmente impedir que la organización desarrolle su negocio y alcance los objetivos propuestos.
Las organizaciones pueden utilizar varias técnicas para identificar los riesgos a los que están expuestas. La evaluación de riesgos según ISO 31000:2018 debe atender en esencia a los siguientes factores:
- Generadores de riesgos – Tangibles e Intangibles -.
- Las causas y los eventos.
- Las amenazas.
- Las oportunidades.
- Fortalezas y debilidades.
- El contexto interno y externo (y sus cambios).
- Los indicadores generales de riesgo.
- Los activos y recursos de la organización.
- Dificultades en el acceso a la información y calidad de la misma.
- Mitos, sesgos y suposiciones de las partes interesadas.
La evaluación de riesgos según ISO 31000:2018 debe hacerse independientemente de que las fuentes de riesgo estén o no bajo el control de la organización.
Evaluación de riesgos según ISO 31000:2018 – El análisis
El propósito del análisis de riesgos es entender las características de la amenaza y su naturaleza, lo que requiere considerar la probabilidad de ocurrencia del evento, el escenario, el posible impacto y los escenarios en los que se puede dar.
El análisis, dentro de la evaluación de riesgos según ISO 31000:2018, puede efectuarse con diferentes niveles de detalle. Por supuesto, la complejidad aumenta. Ello depende del propósito del análisis y la calidad de la información disponible.
El análisis de riesgos puede afectase por causa de la diferencia de opiniones entre las partes interesadas, los sesgos, las diferencia entre las percepciones del riesgo, e, incluso, por suposiciones infundadas que conducen a exclusiones que limitan el efecto final del análisis.
La evaluación de riesgos
El propósito de la evaluación es incorporar los elementos cualitativos a la información obtenida con base en el análisis, con el fin de emprender acciones y tomar decisiones – tratamiento de los riesgos -.
¿Qué decisiones?… veamos algunos ejemplos:
No tomar ninguna acción (tolerar el riesgo).
Proponer acciones para el tratamiento del riesgo.
Ordenar nuevos análisis, con base en información adicional y/o de mayor calidad.
Establecer controles o eliminarlos (cuando se considere que el riesgo ha desaparecido).
Emprender acciones para compartir el riesgo.
La evaluación de riesgos según ISO 31000:2018 es un paso previo a las opciones de tratamiento de riesgo, sobre las que seguro tendremos una entrada en los próximos días. Entre tanto, es importante tener en cuenta que la evaluación de riesgos debe ser registrada, comunicada y validada en los niveles pertinentes dentro de la organización.
Por supuesto, y como solemos acostumbrar, nuestro objetivo principal es recomendar un programa de formación que permita a los encargados dentro de la organización cumplir con los requisitos de las normas ISO.
Tomado de: https://www.escuelaeuropeaexcelencia.com/