GESTIÓN DEL RIESGO ¿POR QUÉ ES TOMADO MUY EN CUENTA EN LAS PRÓXIMAS NORMAS ISO DE SISTEMA DE GESTIÓN?

gestion-de-riesgos-nueva-gerenciaSoftware Legal GOLEN - Software de cumplimiento legal

El Riesgo puede definirse como: incertidumbre sobre la consecución de los objetivos de una organización.
Actualmente ha cobrado tanta importancia la gestión de Riesgos en las organizaciones que la ISO en su nueva estructura de las Normas de Sistema de Gestión (Anexo SL) ha decidido incorporarla como un Cláusula obligatoria, en donde se determinan los riesgos asociados y estos son tomados en cuenta en el sistema de gestión; así como tomar las acciones para prevenir o reducir sus efectos en la organización.
Por lo señalado anteriormente, en cada sector existen riesgos para la salud, la seguridad y el medio ambiente que deben ser identificados y abordados con procedimientos sólidos de gestión de riesgos. Y muy pronto serán exigidos en la normas de calidad (ISO9001), ambiente (ISO14001), seguridad y salud Laboral (ISO45001), entre otras.
Una Norma que nos puede ayudar es la ISO 31000, esta ha permitido a las empresas incorporar estándares y procesos de alto nivel para evaluar y limitar los riesgos en todas sus operaciones.
La ISO 31000 ofrece principios y directrices genéricas sobre gestión de riesgos. La norma no es específica de ninguna industria o sector y puede ser utilizada por cualquier organización pública o privada y aplicarse a cualquier tipo de riesgo en una amplia serie de actividades y operaciones. ISO 31000 es la referencia mundial en sistemas de gestión de riesgos, y elegirla le pondrá a la vanguardia del mercado; además sus clientes confiarán en su toma de decisiones estratégicas.
¿De qué riesgos estamos hablando?

Es decir, habrá amenazas económico-financieras, amenazas de seguridad física y seguridad informática (seguridad lógica), amenazas de recursos humanos, amenazas industriales, operativas, propias del mercado o país en el que nos movemos, amenazas legales, etc., aquí ISO 31000 (por volver al estándar internacional) no limita la cantidad de riesgos a gestionar, y eso es bueno.
Pero, ¿qué es gestionar riesgos?, vamos  a poner un ejemplo: ¿tenemos la empresa cerca de un río?, tenemos un riesgo; ¿tenemos los sistemas de información anticuados o con pocas medidas de seguridad?, tenemos otro riesgo; ¿tenemos un proveedor crítico que si deja de prestarnos servicio nosotros dejamos de prestar servicio a nuestros clientes?, tenemos otro (gran) riesgo. Y así, a través de reuniones con los distintos departamentos de la organización y sabiendo obtener esa información podemos construir un buen análisis de riesgos de la organización. Después vendrá la fase en la que se verá cómo gestionarlos.
¿Hay que analizar todos los riesgos?,
No es necesario. Podemos centrarnos en riesgos de un único tipo, podemos centrarnos en un departamento o servicio, o podemos hacerlo por fases y empezar con los riesgos más estratégicos e ir aumentando el nivel de detalle poco a poco hasta llegar a los riesgos más operativos; también de acuerdo a los sistemas que tengamos certificados, como expusimos anteriormente serán una exigencia en las futuras normas ISO de sistema de gestión.
Por tal motivo se deberán hacer reuniones, definir y utilizar una metodología de cálculo del riesgo final, que se basará sobre todo en la probabilidad de que las amenazas ocurran y en el daño/impacto que nos ocasionarían de cara a conseguir los objetivos que la organización ha marcado. Conseguir identificar esos escenarios de riesgo, esas amenazas, es la clave del proceso. La metodología es muy sencilla, y cuanto menos la compliquemos más fácil será interpretar después los resultados.
Es importante acotar que inicialmente será necesario ir de la mano de expertos consultores que nos ayuden a caminar y entender la metodología de cálculo de riesgo, en los próximos artículos ahondaremos más en este tema.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *