ISO 31000:2018-GUÍA PARA LA GESTIÓN DE RIESGOS

Normativa ISO 31000 - Gestión de riesgos

La capacidad de predecir lo que depara el futuro y de elegir efectivamente entre diferentes alternativas se encuentra en el núcleo de las sociedades y organizaciones contemporáneas. La gestión de riesgos nos ayuda a navegar por una amplia gama de procesos de toma de decisiones, desde tomar decisiones de inversión hasta salvaguardar nuestra salud, desde librar la guerra hasta planear familias, desde pagar primas de seguro hasta usar un cinturón de seguridad cuando conducimos, desde plantar la caña de azúcar hasta promocionar deliciosos Dulces, y muchos otros aspectos de la vida.

Hoy en día, las personas y las organizaciones dependen menos de las tradiciones y las supersticiones que anteriormente, y esto puede no deberse a que la humanidad sea más racional en sí misma, sino más bien debido a nuestra capacidad para entender el riesgo, lo que nos permite estar más informados y tomar decisiones racionales.

La oportunidad de gestionar el riesgo, incluyendo la cantidad y el tipo de riesgos que las organizaciones aceptan afrontar o retener para tomar decisiones prospectivas, son ingredientes clave que catalizan el progreso del sistema económico.

El riesgo es una parte inseparable de cualquier negocio que afecta sus operaciones y actividades, lo que los lleva a implementar procesos adecuados de gestión de riesgos para gestionar y tratar dichos riesgos de manera efectiva. Las organizaciones exitosas son aquellas que tienen la capacidad de identificar y gestionar riesgos, antes de que esos riesgos se conviertan en realidades destructivas que perjudiquen la reputación de la organización y su capacidad para operar. Tal vez una de las mejores maneras de entender los sucesos inesperados y la importancia de responder adecuadamente es a través de las palabras de Arthur Rudolph, uno de los científicos que desarrolló el cohete Saturno 5 que lanzó la primera misión de Apolo a la luna:

“Quieres una válvula que no se escape y pruebas todo lo posible para desarrollar una, pero el mundo real te proporciona una válvula con fugas. Tienes que determinar cuánta filtración puedes tolerar ”

En el pasado, las organizaciones generalmente identificaban y gestionaban los riesgos individualmente mediante el empleo de diferentes seguros como medio para prevenir fallas, violaciones y riesgos legales de IT. Esto puede, a veces, ser insuficiente y puede contribuir a la creación de un enfoque de «silo» para la gestión de riesgos, lo que lleva a una falta de coordinación y reduce potencialmente la capacidad de la organización para identificar riesgos estratégicos y de reputación.

El establecimiento de un proceso de gestión de riesgos y una estructura basada en la norma ISO 31000 puede ayudar a las organizaciones a cerrar las brechas operativas derivadas de los riesgos a través de la creación de un enfoque integral de la organización para la gestión de riesgos que facilita la comunicación y proporciona los pasos fundamentales sobre cómo diseñar e implementar un marco de gestión de riesgos, y cómo mejorar continuamente el marco de gestión de riesgos siguiendo sus directrices.

La gestión de riesgos es un proceso de gestión que estimula la consecución rentable de los objetivos de la organización; Además, la norma también establece que el propósito de la gestión de riesgos es la creación y protección de valor. Esto nos lleva a la pregunta: ¿Cómo un proceso de gestión de riesgos, basado en la ISO 31000, apoya a las organizaciones en la creación y protección de valor y, en consecuencia, en el logro de los objetivos de la organización? Además de proporcionar respuestas a tales preguntas, la ISO 31000 también proporciona un conjunto de principios, un marco y un proceso de gestión de riesgos que las organizaciones pueden seguir. La norma propone 8 principios que las organizaciones deben tener en cuenta al establecer su marco de trabajo y procesos de gestión de riesgos.

Además, el propósito de los principios de gestión de riesgos que proporciona la norma ISO 31000 es vincular el marco de trabajo y la práctica de la gestión de riesgos con los objetivos estratégicos de la organización.

gestion riesgos valor

Cultura de riesgo

Los principios de administración de riesgos también pueden ayudar en la creación de una cultura de riesgos dentro de la organización.

Pero, ¿qué es la «cultura del riesgo»? El concepto de cultura de riesgo es relativamente nuevo, asentándose lentamente en la atención de la gente después de la crisis financiera de 2008. Hay una gran cantidad de preguntas en torno a este concepto, y muchos intentos de definir con palabras exactas lo que representa. La Facultad de Iniciativa ERM define la cultura de riesgo como «el sistema de valores y comportamientos presentes en una organización que da forma a las decisiones de riesgo de la gerencia y los empleados». Esto, sin embargo, indica que el concepto sigue siendo bastante ambiguo y abstracto, y aún está por verse si se convertirá en una realidad organizativa.

La ISO 31000 no intenta definir qué es la cultura del riesgo, y esto puede deberse principalmente a la novedad de este concepto y su similitud con el principio de «comportamiento y cultura humana» presentado en la norma. Por lo tanto, el concepto de cultura de riesgo se sintetiza con el principio del comportamiento humano y la cultura que se proporciona en la norma, refiriéndose a ella simplemente como una cultura de riesgo, teniendo en cuenta la síntesis.

¿Por qué es importante la cultura del riesgo?

1. En primer lugar, todas las organizaciones, de una u otra forma, han adoptado una cultura de riesgo, ya sea adecuada o débil. Lo más probable es que una cultura adecuada conduzca hacia los resultados de riesgo correctos, mientras que una cultura de riesgo débil puede conducir a resultados menos satisfactorios. Además, la cultura de riesgo de la organización también apoyará o socavará el éxito de la organización a largo plazo, o para traducirlo a la terminología de la ISO 31000, determinará si la organización creará y protegerá el valor o no.

2. En segundo lugar, las organizaciones pueden dedicar una cantidad considerable de tiempo y recursos al desarrollo de reglas, marcos y procesos, solo para darse cuenta de que no se entienden y no se aplican correctamente, ya sea intencionalmente o debido a la falta de los conocimientos y la experiencia necesarios. La cultura de riesgo de la organización puede ser el catalizador de un proceso eficaz de gestión de riesgos y el promotor de la toma de riesgos informada.

¿Cómo pueden integrarse las actividades de gestión de riesgos en los procesos de la organización?

La integración de la gestión de riesgos a veces puede ser difícil, ya que depende de la comprensión de la estructura organizativa y el contexto. Las estructuras organizativas varían según el propósito, los objetivos, los objetivos y la complejidad de la organización.

¿Cuáles son los beneficios de integrar el proceso de gestión de riesgos en las operaciones y actividades de la organización?

  • Las organizaciones tendrán un marco de gestión de riesgos adecuadamente diseñado e implementado que garantizará que el proceso de gestión de riesgos forme parte de todas las actividades en toda la organización, incluida la toma de decisiones, y que los cambios en contextos externos e internos se capten adecuadamente.
  • Las organizaciones podrán mejorar continuamente la idoneidad, la adecuación y la eficacia del marco de gestión de riesgos y la forma en que se integra el proceso de gestión de riesgos.
  • Las organizaciones tendrán un proceso de administración de riesgos que es parte integral de la administración y la toma de decisiones y se integra en la estructura, las operaciones y los procesos de la organización. La integración de la gestión de riesgos en una organización es un proceso iterativo y dinámico que no tiene una fórmula universal, pero debe adaptarse a las necesidades y la cultura de la organización. Por lo tanto, la gestión de riesgos debe ser parte de, y no estar aislada del propósito organizativo, gobierno, liderazgo y compromiso, estrategia, objetivos y operaciones.

Teniendo en cuenta que ISO 31000 no proporciona requisitos, sino solo recomendaciones, las organizaciones pueden elegir qué parte de las recomendaciones desean seguir para administrar el riesgo de manera adecuada. Sin embargo, para identificar, analizar, evaluar y tratar adecuadamente los riesgos, PECB recomienda seguir todas las recomendaciones de ISO 31000 y también brinda cursos de capacitación para que los administradores de riesgos puedan mejorar sus habilidades y apoyar a las organizaciones para las que trabajan a fin de alinear los objetivos de la norma ISO 31000 con objetivos de las organizaciones.

Antes de seleccionar un marco de administración de riesgos como el más adecuado para la organización, la alta gerencia debe identificar los tipos de riesgo que enfrenta la organización, o que posiblemente pueda enfrentar en el futuro. Dependiendo de la naturaleza y el tipo de organización, la industria y el país en el que opera, sus operaciones y actividades diarias, el marco y los procesos de administración de riesgos pueden variar de una compañía a otra. Sin embargo, la norma ISO 31000 es adecuada para cada organización, ya que proporciona un marco y un proceso universales para gestionar los riesgos de manera adecuada.

I. Identificando los tipos de riesgo.

Una organización que apunta a implementar un proceso de administración de riesgos debe conocer todos los tipos de riesgos que la organización ha enfrentado o que puede enfrentar mientras operan. Esto se puede lograr considerando todos los registros de riesgos pasados ​​e identificando si algún riesgo del pasado ha sido relacionado o si todavía está presente. En caso de que la organización no tenga ningún registro de riesgos, la alta gerencia debe proporcionar al equipo de administración de riesgos información suficiente sobre los riesgos que se han enfrentado en el pasado y cuáles fueron sus fuentes. En caso de que la organización no haya enfrentado ningún riesgo en el pasado, aún deben identificar los riesgos potenciales para que la organización no tenga que sufrir ninguna consecuencia.

Algunos tipos de riesgo presentados por PECB que pueden ser enfrentados por organizaciones de cualquier tipo incluyen:

Riesgo operacional: la pérdida resultante de procedimientos, políticas y sistemas inadecuados dentro de la organización

Riesgo financiero: el proceso de hacer frente a las incertidumbres que se derivan de los mercados financieros.

Las principales fuentes de riesgo financiero incluyen:

  • La exposición de la organización a cambios en los precios de mercado;
  • Acciones y transacciones con otras organizaciones;
  • Acciones internas y fallos organizativos.

Riesgo de crédito: la pérdida que se genera debido a la incapacidad de la contraparte para cumplir con sus obligaciones. Riesgo de tecnología de la información: fallas operativas, financieras y de proyectos debido al uso de nueva tecnología.

Riesgo de integración: los resultados negativos provocados por la integración de nuevos procesos y tecnología y / o falta de comunicación.

Riesgo de seguridad: las pérdidas encontradas debido a los incidentes de seguridad de la información o incidentes físicos

Riesgo legal: el riesgo que surge debido a la incapacidad de cumplir con las obligaciones reglamentarias aplicables.

II. Diseño de un marco de gestión de riesgos.

Una vez que el equipo de administración de riesgos ha adquirido un conocimiento integral de los tipos de riesgos que puede enfrentar la organización y los principios de la administración de riesgos, puede comenzar a diseñar un marco de administración de riesgos adecuado con el apoyo y el liderazgo de la alta gerencia de la organización. La ISO 31000 subraya el desarrollo de un marco que integrará completamente el proceso de gestión de riesgos en una organización. El marco asegura que un proceso en toda la organización es compatible, iterativo y efectivo. Eso significa que la gestión de riesgos será un componente activo en la gobernanza, la estrategia y la planificación, los procesos de gestión de informes, las políticas, los valores y la cultura. El marco está destinado a adaptarse a las necesidades y estructura particulares de todas las organizaciones, independientemente de su tamaño, y se ve facilitado por el liderazgo y el compromiso de la alta dirección de la organización. Sin embargo, el compromiso de la alta dirección por sí solo no es suficiente; por lo tanto, el compromiso de toda la organización debe ser perseguido (una cultura de riesgo apropiada como se discutió anteriormente).

La implementación exitosa del marco de gestión de riesgos ISO 31000 requiere el compromiso y el conocimiento de las partes interesadas. Esto permite a las organizaciones abordar explícitamente la incertidumbre en la toma de decisiones, al mismo tiempo que garantiza que cualquier incertidumbre nueva o posterior se pueda tener en cuenta a medida que surja.

El marco incluye actividades como: demostrar liderazgo y compromiso con la gestión de riesgos, integrar la gestión de riesgos en los procesos organizacionales, diseñar el marco para gestionar riesgos (lo que incluye comprender la organización y su contexto, articular el compromiso de gestión de riesgos, asignar roles, autoridades, responsabilidades y responsabilidades, asignando recursos apropiados y estableciendo comunicación y consulta), implementando el proceso de gestión de riesgos, evaluando el proceso de gestión de riesgos y adaptando y mejorando continuamente el marco.

ciclo gestión de riesgos RGPD

II. Implementación del proceso de gestión de riesgos.

El proceso de gestión de riesgos de la organización debe incluir la aplicación sistemática de políticas, procedimientos y prácticas a las actividades de comunicación y consultoría, estableciendo el contexto y evaluando, tratando, monitoreando, revisando, registrando y reportando riesgos.

proceso de gestión de riesgos

El propósito principal del proceso de administración de riesgos es permitir que la organización evalúe los riesgos existentes o potenciales que pueden enfrentar, evalúe los riesgos comparando los resultados del análisis de riesgos con los criterios de riesgo establecidos y trate dichos riesgos utilizando las opciones de tratamiento de riesgos. La organización debe utilizar dicho proceso en el proceso de toma de decisiones.

Pasos para una implementación / integración efectiva del proceso de Gestión de Riesgos:

Establecimiento del contexto: al establecer el contexto, la organización debe tener en cuenta el entorno externo de la organización (político, social, etc.) y el entorno interno (objetivos, estrategias, estructuras, ética, disciplina, etc.). El contexto de la organización debe entenderse antes de poder identificar toda la gama de riesgos. Al establecer el contexto, la organización debe definir el propósito y el alcance de sus actividades de gestión de riesgos, y determinar los objetivos del proceso de gestión de riesgos y los objetivos específicos de la evaluación de riesgos. Además, la organización debe definir el alcance y los límites relacionados con el proceso de gestión de riesgos e identificar todas las restricciones que afectan el alcance. Después de identificar las restricciones, la organización debe definir los criterios de riesgo que se utilizarán durante todo el proceso.

Identificación de riesgos: la identificación de riesgos debe ser un proceso formal y estructurado que incluya fuentes de riesgo, eventos, sus causas y sus posibles consecuencias. En pocas palabras, la identificación de riesgos se trata de la creación de una lista completa de riesgos (internos y externos) que enfrenta la organización, y puede incluir aportes de fuentes como datos históricos, análisis teóricos, opciones de expertos y las necesidades de los interesados. El proceso de identificación de riesgos permite a la organización identificar sus activos, fuentes de riesgo, eventos de riesgo, medidas existentes y consecuencias. Al identificar dichos elementos, la organización estará lista para comenzar el proceso de análisis de riesgos.

Análisis de riesgo: la organización debe analizar cada riesgo que se identificó en el paso anterior. Sobre la base del nivel de riesgo que se determina después del análisis de riesgos, la organización puede definir si el riesgo es aceptable o no. Como tal, si el riesgo resulta inaceptable, la organización puede tomar medidas para modificar el riesgo para que se corresponda con el nivel aceptable de riesgo. La organización debe usar una técnica formal para considerar la consecuencia y la probabilidad de cada riesgo, y estas técnicas pueden ser cualitativas, semicuantitativas, cuantitativas o una combinación de ellas, según las circunstancias y el uso previsto.

Evaluación de riesgos: este paso ofrece a la organización la oportunidad de contar con un mecanismo que les ayuda a clasificar la importancia relativa de cada riesgo, para que se pueda establecer una prioridad de tratamiento.

Tratamiento del riesgo: la gestión adecuada del riesgo requiere decisiones racionales e informadas sobre el tratamiento del riesgo. Típicamente, tales tratamientos incluyen: evitar la actividad de la cual se origina el riesgo, compartir el riesgo, administrar el riesgo mediante la aplicación de controles, aceptar el riesgo y no tomar ninguna otra acción, o tomar riesgos y aumentar el riesgo para buscar una oportunidad.

Recuerde que las organizaciones no siempre se encuentran en problemas debido a su comportamiento excesivo e imprudente. A veces las organizaciones se quedan atrás de sus competidores como resultado de su renuencia a asumir riesgos y buscar oportunidades.

Comunicación y consulta: la gestión adecuada del riesgo requiere una comunicación y consulta estructurada y continua con las personas afectadas por las operaciones de la organización. La comunicación busca promover la concientización y la comprensión del riesgo y los medios para responder a él, mientras que la consulta implica obtener retroalimentación e información para respaldar la toma de decisiones.

Registro y presentación de informes: otro paso del proceso de administración de riesgos basado en ISO 31000 es el registro y la presentación de informes, es decir, los resultados del proceso de administración de riesgos deben documentarse e informarse a través de los mecanismos apropiados. El registro y la presentación de informes son importantes por razones tales como la comunicación de las actividades de gestión de riesgos y los resultados correspondientes a esas actividades en toda la organización y el suministro de la base y la información necesarias para tomar decisiones informadas.

Supervisar y revisar: considerando que tanto los entornos externos como los internos están sujetos a cambios constantes, el propósito de este paso es ayudar a las organizaciones a asegurar y mejorar la calidad y la eficacia del proceso de gestión de riesgos.

El monitoreo incluye acciones tales como examinar el progreso de los planes de tratamiento, monitorear los controles establecidos y su efectividad, asegurar que se eviten las actividades prohibidas y verificar que el ambiente no haya cambiado de una manera que afecte los riesgos.

Resumen de conceptos

Durante los últimos años, la importancia de la gestión de riesgos como parte de un gobierno corporativo fuerte ha sido reconocida y destacada cada vez más. El tumulto a principios del siglo XXI, principalmente con el colapso de las organizaciones multinacionales y luego la crisis financiera de 2008, mostró la necesidad de aumentar la conciencia sobre los factores de incertidumbre relacionados con el entorno operativo y el comportamiento de las organizaciones.

Estos eventos demostraron la necesidad de una «herramienta» que establezca una base y los medios necesarios para evitar que las organizaciones se involucren en comportamientos imprudentes, causando terribles consecuencias, pero al mismo tiempo les ayuden a buscar oportunidades, tomar decisiones informadas y prosperar en ellas. El sistema económico actual.

Esta «herramienta» llegó en forma de ISO 31000 (el primer estándar en la familia de estándares de gestión de riesgos), un estándar internacional que fue publicado por ISO por primera vez en 2009, y luego revisado y publicado en 2018.

ISO 31000 se desarrolló con el objetivo de proporcionar una estructura de mejores prácticas y orientación para todas las operaciones relacionadas con la gestión de riesgos y se dirige a las personas que crean y protegen el valor en las organizaciones mediante la gestión de riesgos, la toma de decisiones, el establecimiento y el logro de objetivos y la mejora del rendimiento. La norma contiene un conjunto de principios, un marco integral de gestión de riesgos y un proceso de gestión de riesgos que hemos analizado en este documento.

Es comprensible que la aplicación de la norma ISO 31000 por sí sola no va a prevenir malas decisiones comerciales o incluso otra crisis financiera mundial.

Pero una cosa que se puede reconocer es que la ISO 31000 ciertamente ofrece a las organizaciones la oportunidad de comprender las causas e identificar los tratamientos necesarios para reducir la incertidumbre de su futuro.

Cumplir con el RGPD de forma segura y al mejor precio

  • NUEVA LEY DE PROTECCIÓN DE DATOS 2018

    Adapta tu negocio a la nueva Ley de Protección de Datos de 2018 (nos ocupamos de todo).

  • ESTAMOS CERTIFICADOS EN ISO 27001

    Clickdatos está certificada en ISO/IEC 27001 en Seguridad de la Información. Muestra de garantía y calidad.

  • DEFENSA JURÍDICA Y SERVICIO ASEGURADO

    clickDatos incluye la Defensa Jurídica en materia de Protección de Datos y disponemos de un Seguro de Responsabilidad Civil por contrato, que cubre las posibles sanciones.

  • GARANTÍA DE EXPERIENCIA Y PROFESIONALIDAD

    clickDatos con más de 10 años de experiencia y referente en el contrato público privado establecido con la Comisión Europea y la Organización Europea de Ciberseguridad (ECSO).

  • COBERTURA NACIONAL

    clickDatos presta servicio en todo el territorio nacional para que cumplas con el Reglamento General de Protección de Datos (RGPD).

Clickdatos Protección de Datos

Infórmate sin compromiso