La ISO 31000 es una norma internacional
que ofrece las directrices y principios para
gestionar el riesgo de las organizaciones.
COMPARACIÓN CON LA NORMA ISO 31010
Procesos de valoración de riesgo
Indentificación del riesgo
Identificar lo que podría suceder al existir la afectación
en el logro de los objetivos del sistema o la organización.
Análisis del riesgo
Es la comprensión y valoración del
riesgo para una toma de decisión.
Evaluación del riesgo
Es la comparación de los niveles de riesgo estimados,
con los criterios establecidos para determinar la
importancia del nivel o el tipo del riesgo.
Documentación
Son los resultados de la valoración que se
expresan en términos comprensibles y las
unidades de las que se expresa el nivel del riesgo.
Monitoreo y revisión del la
valoración del riesgo
Es el proceso de valoración del riesgo
enfatizará el contexto y otros factores
que se presume podrían variar con el
paso del tiempo y que podrían cambiar
la valoración del riesgo o invalidarla.
Aplicación de la valoración
del riesgo durante las fases
del ciclo de duración
Se considera para hacer
proyectos, actidades y productos
en fase inicial y la definición.
Aplicabilidad de las herramientas para
la valoración del riesgo
Entrevistas
estructuradas o
semiestructuradas
Listas de
Verificación
Análisis Primario de
Peligros
Estudios de Peligro y
Operatividdad
Análisis de peligros y puntos
críticos de control
Valoración del Riesgo
Ambiental
Análisis de
Escenario
Análisis del Impacto del
Negocio
Lluvia de
¡deas
Análisis de la causa
principal
Principios
Integrada
La gestión del riesgo es parte integral de
todas las actividades de la organización.
Adaptada
El marco de referencia y el proceso de la gestión
del riesgo se adaptan y son proporcionales a los
contextos externo e interno de la organización
relacionados con sus objetivos.
Inclusiva
La participación apropiada y oportuna de las partes
interesadas permite que se consideren su conocimiento,
puntos de vista y percepciones. Esto resulta en una mayor
toma de conciencia y una gestión del riesgo informada.
Dinámica
Los riesgos pueden aparecer, cambiar o desaparecer con los
cambios de los contextos externo e interno de la organización.
Mejor información
disponible
La información debería ser oportuna, clara y
disponible para las partes interesadas pertinentes.
Factores humanos y
culturales
El comportamiento humano y la cultura influyen
considerablemente en todos los aspectos de la
gestión del riesgo en todos los niveles y etapas.
Mejora
continua
La gestión del riesgo mejora
continuamente mediante aprendizaje y
experiencia.
Marco de referencia
Generalidades
La eficacia de la gestión del riesgo dependerá de su
integración en la gobernanza de la organización, incluyendo
la toma de decisiones.Esto requiere el apoyo de las partes
interesadas, particularmente de la alta dirección.
Liderazgo y
compromiso
La alta dirección y los órganos de supervisión, cuando sea
aplicable, deberían asegurar que la gestión del riesgo esté
integrada en todas las actividades de la organización y
deberían demostrar el liderazgo y compromiso:
Publicando una declaración o una política que
establezca un enfoque, un plan o una línea
de acción para la gestión del riesgo
Asegurando que los recursos necesarios
se asignan para gestionar los riesgos.
Asignando autoridad, responsabilidad y
obligación de rendir cuentas en los niveles
apropiados dentro de la organización.
Integración
El riesgo se gestiona en cada parte de la estructura de la
organización. Todos los miembros de una organización
tienen la responsabilidad de gestionar el riesgo.
La determinación de los roles para la rendición de cuentas y la
supervisión de la gestión del riesgo dentro de la organización
son partes integrales de la gobernanza de la organización.
Diseño
Comprensión de la
organización y de su
contexto.
La organización debería analizar y comprender sus
contextos externo e interno cuando diseñe el
marco de referencia para gestionar el riesgo.
Articulación del compromiso
con la gestión del riesgo.
La alta dirección y los organismos de supervisión, cuando sea
aplicable, deberían articular y demostrar su compromiso
continuo con la gestión del riesgo mediante una política.
Asignación de roles, autoridades,
responsabilidades y obligación de
rendir cuentas en la organización.
Asignen y comuniquen a todos los niveles de la
organización y deberían: enfatizar que la gestión
del riesgo es una responsabilidad principal.
Asignación de
recursos.
La alta dirección y los órganos de supervisión, cuando
sea aplicable, deberían asegurar la asignación de los
recursos apropiados para la gestión del riesgo.
Establecimiento de la
comunicación y la consulta.
La organización debería establecer un enfoque aprobado con
relación a la comunicación y la consulta, para apoyar el marco de
referencia y facilitar la aplicación eficaz de la gestión del riesgo.
Implementación
La organización debería implementar el marco de
referencia de la gestión del riesgo mediante:
Desarrollo de un plan apropiado incluyendo plazos y recursos
Identificación de dónde, cuándo, cómo y quién toma
diferentes tipos de decisiones en toda la organización.
Modificación de los procesos aplicables para la toma de decisiones.
Valoración
Para valorar la eficacia del marco de referencia
de la gestión del riesgo, la organización
debería:
Medir periódicamente el desempeño del marco de referencia
de la gestión del riesgo con relación a su propósito.
Determinar si permanece idóneo para apoyar
el logro de los objetivos de la organización.
Mejora
Adaptación
La organización debería realizar el seguimiento
continuo y adaptar el marco de referencia de la gestión
del riesgo en función de los cambios externos e
internos.
Mejora
continua
Cuando se identifiquen brechas u oportunidades de mejora pertinentes,
la organización debería desarrollar planes y tareas y asignarlas a quienes
tuviesen que rendir cuentas de su implementación.
Proceso de gestión de riesgo
Establecer el contexto
Contexto
Tener en claro los objetivos a considerar y su
alineamiento con los objetivos de la organización.
Contexto externo e
interno
Parte desde la comprensión de los contextos
externo e interno para la aplicación de un
proceso de gestión de riesgo.
Definición de los
criterios del riesgo
La organización debe precisar la cantidad y el tipo de riesgo
que se puede o no tomar, con relación a los objetivos.
Evaluar los riesgos
Identificación del riesgo
Encontrar y describir los riesgos
que impiden a una organización
lograr sus objetivos.
Análisis del riego
Comprender la naturaleza,
características y nivel del riesgo-
Los factores que se debe
considerar para el análisis del
riesgo son:
La probabilidad de los eventos y de las consecuencias
La naturaleza y la magnitud de
las consecuencias
La complejidad y la interconección
Los factores relacionados con el tiempo y la
bolatilidad
La eficacia de los controles existentes
Niveles de sensibilidad y de confianza
Valoración del riesgo
Comparar los resultados del análisis
de riesgo con los criterios del riesgo.
Tratar los riesgos
Selección de las opciones para el tratamiento del riesgo.
Preparación e implementación de los
planes del tratamiento del riesgo.
Metodología de investigación
Cualitativos
Cuestionario
y entrevistas.
Juicios de
especialistas
y expertos.
Semicuantitativos
Clasificaciones de palabra o
descripciones de probabilidad.
Cuantitativos
Simulación.
Consecuencias.
Probabilidad.
IMPLEMENTACIÓN DE LA NORMA
Resistencia al cambio
Sucede por la falta de formación o
por que no existe un verdadero
empoderamiento del proceso.
Inmediatez
La empresa no desea invertir tiempo en
la implementación de la gestión del
riesgo.
Criterios distintos
Las personas responsables de la implementación
de la gestión del riesgo, difieren en criterios al
momento de implementar el plan.
Falta de una figura de
autoridad
Ausencia de un líder que direccione todos los procesos.