ISO 31000
ISO 31000 Gestión de Riesgos – Principios y Guías es una Norma Internacional que pudiera manejar cualquier organización interesada en tratar los riesgos a los que está expuesta.
En otros artículos hemos tratado cuál es el objeto de esta norma y hoy vamos a estudiar qué definiciones incluye y debemos conocer para trabajar con ella.
ISO 31000 contiene hasta 29 definiciones, algunas de ellas son:
- Riesgo: Efecto de la incertidumbre sobre nuestros objetivos.
Debemos entender como “efecto” una desviación de algo que se espera, ya sea positivo o negativo. Normalmente, el riesgo viene expresado como una combinación de las consecuencias de un evento y la probabilidad de que ocurra.
Por “incertidumbre” entendemos el estado de deficiencia de información ligada a la comprensión o conocimiento de un evento, su consecuencia o probabilidad.
- Establecimiento del contexto: definición de los parámetros internos y externos que han de ser tenidos en cuenta para gestionar el riesgo y establecer el alcance y los criterios del riesgo.
- Contexto externo: ambiente externo en el cual la organización desea lograr sus objetivos.
El contexto externo puede ser el ambiente cultural, social, político, legal, financiero, tecnológico, competitivo… cualquier tendencia que tenga impacto en los objetivos y relaciones con las partes interesadas.
- Contexto Interno: ISO 31000 define al contexto interno como el ambiente interno en el que la organización desea lograr sus objetivos. Puede ser la estructura organizacional, las políticas, funciones, estrategias, las capacidades de la organización, los flujos de información y procesos para tomar decisiones, la cultura de la organización…
- Parte involucrada: persona u organización que puede afectar o verse afectada por una decisión o actividad.
- Evento: presencia o cambio de un conjunto particular de circunstancias.
Para ISO 31000 un evento es una o más ocurrencias, pudiendo tener varias causas. También puede ser algo que no está sucediendo.
- Consecuencia: resultado de un evento y que afecta a los objetivos.
Un evento puede dar lugar a un rango de consecuencias. La consecuencia puede ser cierta o incierta y puede implicar efectos positivos o negativos sobre los objetivos de la organización.
Las consecuencias pueden ser expresadas cualitativa o cuantitativamente.
- Probabilidad: para ISO 31000 la probabilidad es la oportunidad de que algo suceda.
En el contexto de gestión del riesgo, el término probabilidad es utilizado para hacer referencia a la oportunidad de que algo suceda, esté definido o no, medido o determinado de forma objetiva o subjetiva, de modo cuantitativo o cualitativo.
Si alguna vez lees este término en inglés debes saber que la forma correcta es “Likelihood”, aunque también suele usarse “Probability” que está más asociado a las matemáticas que a la gestión del riesgo.
- Perfil del riesgo: descripción de cualquier conjunto de riesgos.
El conjunto de riesgos puede contener aquellos que se relacionan con la organización en su totalidad o con parte de ella.
- Análisis del riesgo: proceso llevado a cabo para comprender la naturaleza del riesgo y determinar el nivel de riesgo.
Para ISO 31000 el análisis del riesgo proporciona las bases para la evaluación del riesgo y la toma de decisiones sobre su tratamiento.
El análisis del riesgo incluye la estimación del mismo.
- Criterios del riesgo: términos a tomar como referencia ante los cuales se evalúa la importancia de un riesgo determinado.
Los criterios del riesgo deben estar basados en los objetivos y en el contexto interno y externo de la organización.
En ocasiones los criterios del riesgo vienen derivados de requisitos como leyes, normas, o políticas.
- Nivel de riesgo: magnitud de un riesgo o de una combinación de varios. Se expresa en términos de combinación de la probabilidad y las consecuencias de los mismos.
- Evaluación del riesgo: proceso de comparación de los resultados del análisis de riesgos con los criterios de los riesgos. Así se determinará si el riesgo, su magnitud, o ambos en conjunto son tolerables o aceptables.
La evaluación del riesgo es una gran ayuda para tomar decisiones sobre el tratamiento del riesgo.
- Tratamiento del riesgo: para ISO 31000 este concepto define el proceso para modificar el riesgo.
El tratamiento del riesgo puede implicar evitar el riesgo decidiendo no iniciar o continuar la actividad que lo causó, incrementar el riesgo para conseguir una oportunidad, suprimir la fuente del riesgo, cambiar la probabilidad, cambiar las consecuencias o retener el riesgo mediante una decisión informada.
Normalmente se hace referencia a tratamientos ligados con consecuencias negativas tales como mitigación del riesgo, eliminación del riesgo, prevención del riesgo y eliminación del riesgo.
Hay que tener en cuenta que el tratamiento del riesgo puede crear nuevos riesgos o modificar los ya existentes.
- Control: medida que modifica al riesgo.
Los controles, para ISO 31000, incluyen procesos, políticas, prácticas… acciones en definitiva que sirven para modificar el riesgo.
- Riesgo residual: Es aquel riesgo que subsiste, después de haber implementado los controles.
También es conocido como riesgo retenido. Puede ser que contenga un riesgo no identificado.
Para ampliar tus conocimientos sobre la gestión del riesgo deberías matricularte en el curso ISO 31000: Gestión de Riesgos Corporativos.