Criterios del riesgo
Si una organización desea hacer una evaluación de riesgos en ISO 31000, primero debe definir el contexto de la organización y el alcance, la de estrategia de gestión de riesgos, y posteriormente, identificar y desarrollar los criterios del riesgo, definidos en la cláusula 6.3 de la norma.
Estos criterios están diseñados para establecer la forma en la que se reconocen y registran los riesgos en una organización. Una vez establecidos los criterios del riesgo, el siguiente paso es la evaluación de riesgos en ISO 31000, que es lo que veremos en el artículo de hoy.
Evaluación de riesgos en ISO 31000
La evaluación de riesgos en ISO 31000 viene recogida en la cláusula 6.4 de la norma. Es el proceso general de identificación de riesgos, análisis y evaluación de la efectividad de los criterios del riesgo. Todo el proceso está diseñado para ser sistemático y colaborativo en el desarrollo de una estrategia integrada de gestión de riesgos.
Identificación de Riesgos
En la primera etapa de la evaluación de riesgos en ISO 31000 se debe encontrar, comprender y describir los riesgos. Considerando un riesgo como algo que puede obstaculizar, prevenir o ayudar a una organización a cumplir sus objetivos estratégicos.
Es importante utilizar la información más reciente disponible para la identificación de riesgos, como datos reales, eficaces y exactos, que permitirán desarrollar una estrategia más relevante.
Los factores a considerar en la identificación de riesgos son:
- Causas y eventos.
- Fuentes tangibles e intangibles.
- Cambios contextuales (alteración de un factor externo).
- Amenazas y oportunidades.
- Recursos disponibles, junto con su naturaleza y valor.
- Capacidades para manejar un riesgo o vulnerabilidad.
- Lagunas en el conocimiento.
- Probabilidad y consecuencia de un riesgo.
- Preocupaciones, experiencias y supuestos de los factores involucrados en la evaluación del riesgo.
- Gravedad de un riesgo que puede ocurrir.
- Recursos de tiempo y asignación del equipo de gestión de riesgos.
Cuando identificamos un riesgo, debemos tener en cuenta que puede haber más de un resultado en una ocurrencia de riesgo, y que esto puede afectar a otros riesgos identificados.
Análisis de riesgos
La etapa de análisis de riesgos, permite tomar decisiones sobre el tratamiento del riesgo. El tipo, nivel y probabilidad de riesgo, son tomados en consideración junto con factores como los recursos disponibles y las influencias internas y externas.
Las técnicas utilizadas para el análisis de riesgos son múltiples y variadas, y es deber de la organización definir cuáles se utilizan. En la cláusula 6.3 de la norma, aparte de definir los criterios del riesgo, también se desarrolla el contexto de la estrategia de riesgo, incluyendo las capacidades de medición.
Conoce la Evaluación de #Riesgos en #ISO31000 #GestiónRiesgos Share on XLas organizaciones pueden usar un enfoque cualitativo, cuantitativo, semicuantitativo, o una combinación de los tres, para determinar cómo analizar los riesgos.
Debemos recordar que el riesgo es muy subjetivo, en todas las etapas de la evaluación de riesgos en ISO 31000 es vital comunicarse con las partes interesadas, internas y externas, a la hora de desarrollar una estrategia sólida. Dado que, una persona puede percibir un riesgo como muy probable y grave, mientras que otra puede considerarlo poco probable y menos grave.
Depende de las organizaciones determinar cómo definir la medición del nivel de riesgo, esto afectará la forma en que se miden y analizan los riesgos.
Evaluación del riesgo
La etapa final en el proceso de evaluación de riesgos, en ISO 31000, permite que una organización tome decisiones respecto al tratamiento del riesgo, priorizando la mitigación del riesgo con facilidad.
La evaluación de riesgos, toma en cuenta los criterios de riesgo y las medidas contra el análisis de riesgo para determinar:
- Qué riesgos tienen mayor prioridad.
- Efectividad de la definición de criterios.
- Éxito en el proceso de análisis de riesgos.
- Pautas para abordar los próximos pasos, (tratamiento de riesgos).
El resultado de la evaluación de riesgos en ISO 31000 puede ser:
- Asignar más análisis.
- Mantener controles existentes.
- Reconsiderar los objetivos de la estrategia de riesgo en concordancia con los objetivos de la organización.
La evaluación periódica le permite desarrollar una estrategia integral y madura de gestión de riesgos, ya que los cambios en los factores de riesgo, impacto, consecuencia y objetivos se pueden abordar en un plazo razonable.
En todas las etapas de la evaluación de riesgos en ISO 31000 es vital comunicarse con las partes interesadas, internas y externas, a la hora de desarrollar una estrategia sólida.
Si desea conocer más información acerca de la evaluación de riesgos en ISO 31000, puede acceder a nuestro Curso ISO 31000 Gestión de Riesgos, a través de la sección de Oferta Formativa, donde encontrará cursos para la implementación y gestión de normas ISO. No dude en escribirnos si le surge cualquier duda o quiere saber más acerca de cómo matricularse en nuestros cursos.
Así mismo, puede descargar gratis el ebook evaluación del riesgo ISO/DIS 31000 para conocer más acerca del proceso de evaluación de riesgos.