Checklist para la gestión del riesgo, según la ISO 31000

Una de las maneras más sencillas y eficaces para empezar a gestionar el riesgo es elaborando un plan de riesgo y una lista de chequeo, herramientas claves de gestión para cualquier proyecto. 

h_PP_checklist_gestion_riesgo_iso_31000

Introducción

Teniendo en cuenta que las organizaciones se ven expuestas a diferentes tipos de riesgos, es de suma importancia definirlos y gestionarlos, aunque en muchas ocasiones esto puede ser una tarea compleja, pero necesaria, es allí cuando la checklist enfocada en la gestión del riesgos, según la ISO 31000 se convierte en un instrumento necesario.

Hay que tener en cuenta que estas amenazas en muchas ocasiones pueden crear valor, ya que las empresas establecen métodos para generar un equilibrio entre los objetivos de crecimiento, rentabilidad y los riesgos a los que están asociados para contar con una consecución adecuada.

En el siguiente eBook conocerá la importancia del checklist dentro de la gestión de riesgos, de acuerdo a la ISO 31000 y los parámetros que debe seguir para establecerla. 

ISO 31000

01_PP_checklist_gestion_riesgo_iso_31000

Se define como una guía o un referente internacional que ofrece directrices y principios para poner en marcha los sistemas de gestión de riesgos. Se publicó en noviembre del 2009 por la Organización Internacional de Normalización (ISO) con el fin de que las compañías puedan gestionar sus riesgos de una manera efectiva a través de procedimientos que les permitan cumplir sus objetivos.

La ISO 31000 cuenta con insumos globales que permiten realizar una adecuada y eficiente gestión de riesgos enfocados en operatividad, gobierno y confianza, además, esta norma brinda recomendaciones de mejores prácticas en la gestión de riesgos las cuales ofrecen técnicas apropiadas y seguridad en el lugar del trabajo.

Cabe resaltar que esta puede ser usada por cualquier tipo de entidad sin importar el sector al que pertenezca, ya que ofrece estrategias de decisión, operaciones, y procesos para los riesgos, ya que se ajusta a cualquier escenario. 

Es importante saber que la ISO 31000 no es certificable, sin embargo la implementación de esta minimiza a profundidad la amenaza al riesgo en cualquier momento que se encuentre y que la mayoría de los entes reguladores la toman como referencia para la promulgación de normas aplicables. 

Gestión de riesgos en la ISO 31000

02_PP_checklist_gestion_riesgo_iso_31000Esta normativa define a la gestión de riesgos como las actividades que se ponen en marcha para seguir y controlar los riesgos a los que se ven enfrentadas las compañías. Se debe tener en cuenta que uno de los aspectos más importantes es la cuantificación y para eso se debe dividir en dos frentes:

Consecuencia: son los eventos que afectan al cumplimiento de los objetivos y que son procedentes de otros, en este punto se deben tener en cuenta aquellos que se clasifican en causa-efecto. 

Probabilidad: es la posibilidad de que un evento pueda suceder. En este punto es importante que las organizaciones contemplen que estos hechos pueden provenir de las decisiones que tomen. Se divide en 5 escalas: raro, probable, improbable, posible y muy frecuente. 

Qué debe contener y para qué sirve la checklist

Un checklist o lista de verificación debe contar con patrones básicos de seguridad los cuales dan la posibilidad de que se pueda evaluar e identificar las oportunidades o vulnerabilidades de activos, procedimientos automatizados y no automatizados y de flujo de información.

Teniendo como base la lista de verificación, la cual fue construida teniendo en cuenta los criterios que mencionamos en el siguiente ítem, se podrá determinar el resultado del impacto si es negativo o positivo de la ocurrencia de un riesgo. De igual manera para poder analizar de manera más profunda se requiere de información adicional, la cual se obtiene por medio de documentos ya existentes en los que se evidencie el análisis del impacto o la evaluación de criticidad de los riesgos.

Esta se utiliza en diferentes etapas de la gestión de riesgos y también durante las auditorías internas. Además, debe contar con un registro y documentación de todos los datos que se recopilen con el fin de validar la eficiencia del sistema.

Las listas de chequeo se usan en grupos de inspección o en auditorías internas para identificar aspectos críticos de un proceso. También son utilizadas como complemento de otros métodos más complejos para gestionar el riesgo operativo, especialmente en algunos requerimientos del análisis “what if”.  

Incluso en los análisis de causa raíz se utiliza una lista gráfica de chequeo. De esa forma se identifican las causas que generan un problema o un defecto recurrente.

Además de las anteriores, existen muchas razones por las cuales es conveniente incorporar una lista de chequeo al manejo de los riesgos operativos. A continuación le mostramos algunos de ellos:

  • Permite plantear una estrategia sistemática basada en datos históricos de la empresa.
  • Puede emplearse para refinar análisis más detallados, como por ejemplo análisis de causa raíz.
  • Es posible aplicarlos a cualquier actividad o proceso.
  • Mejora la cultura de riesgo en la organización.
  • Es fácil de llevar a cabo, ya que puede ser realizada por cualquier persona de la compañía que esté capacitada para entender las preguntas de la lista, sin requerir la supervisión de un experto en gestión de riesgos.
  • Facilita el proceso de auditorías internas optimizando el tiempo de entrevistas y documentación.
  • Genera listas cualitativas para corregir posibles errores o fallos.

Aunque pueden enriquecer el análisis y ayudar a identificar las amenazas, las listas de chequeo para gestionar el riesgo también tienen sus limitaciones.

En primer lugar, cuando son usadas como un único método, es probable que no logren identificar algunos problemas potenciales. Cómo están basadas en asuntos concretos, si no se direccionan hacia áreas claves de la compañía o problemas críticos, es posible que pasen por alto ciertas debilidades que deben ser atendidas.

En segundo lugar, las listas de chequeo solo ofrecen información cualitativa. Este análisis simplificado puede servir para gestionar el riesgo en áreas específicas de la compañía, pero, si se requiere una evaluación integral, es conveniente que se utilice como complemento de algún recurso que incorpore cuantificación al análisis, como por ejemplo un software para gestionar el riesgo.   

Criterios para elaborar un checklist

Hay que tener en cuenta que una checklist para la gestión del riesgo ISO 31000 permite identificar los riesgos evidentes a los que puede estar expuesta la compañía y también los de poca probabilidad, como lo puede ser sufrir una pandemia global, además, allí también se puede crear un cuestionario de preguntas para verificar si realmente esos riesgos existen.

Según la ISO 31000 “el riesgo es el impacto negativo o positivo generado por una vulnerabilidad u oportunidad, considerando tanto la probabilidad como el impacto de la ocurrencia.” 

De acuerdo a lo anterior, una adecuada gestión de riesgos le da la posibilidad a la empresa de que pueda llevar a cabo sus operaciones de manera normal, en caso de que se presente alguna amenaza.

Vea qué debe contener una lista verificación:

Alta Dirección

  1. Asignación de responsabilidades.
  2. Soporte para la continuidad del negocio.
  3. Competencias para la respuesta a incidentes.
  4. Revisión periódica de los controles de seguridad.
  5. Análisis de riesgos.
  6. Entrenamiento técnico y de seguridad.
  7. Segregación de servicios.
  8. Plan de Seguridad.

Operaciones

  1. Control de la contaminación del aire.
  2. Control para garantizar la calidad de la energía eléctrica.
  3. Acceso y uso de los medios de datos.
  4. Control de humedad y temperatura.
  5. Control de equipos informáticos, como ordenadores portátiles, o de escritorio.
  6. Control de máquinas y equipos destinados a la producción.

Técnica

  1. Comunicaciones.
  2. Criptografía.
  3. Controles de accesos.
  4. Identificaciones y autenticaciones.
  5. Detección de intrusos.
  6. Auditorías del sistema.

Tomado de: Escuela Europea de Excelencia. 

Cómo hacer un checklist

Para elaborar una lista de chequeo, deben tenerse en cuenta una serie de criterios que ayudarán a formular las preguntas pertinentes y a abordar los asuntos más importantes. Aquí le explicaremos qué debe tener en cuenta, y al final podrá descargar una guía para que usted mismo haga su lista de chequeo según las necesidades de su empresa o proyecto.

  • Defina los focos de riesgo, ya sean de seguridad, ambientales, económicos y todo lo que pueda afectar el desarrollo de la organización.
  • Divida los aspectos del proyecto: actividades, personal, tiempos de entrega, presupuesto y procesos.
  • Recoja o cree listas de chequeo para cada uno de los problemas. Formule diferentes preguntas relacionadas con el tipo de problemas potenciales que quiere analizar.
  • Responda a las preguntas formuladas en la lista de chequeo. Designe un equipo guiado o compuesto por expertos para responder cada uno de los ítems de la lista. Al final del proceso, incluya recomendaciones para mejorar o mitigar los riesgos que parecen inminentes o probables.
  • Use los resultados para tomar decisiones. Evalúe las recomendaciones incluidas en el análisis e implemente aquellas que traerán más beneficios que costos. Asigne responsables para cada riesgo y haga un monitoreo del proceso. 

Principios y directrices para la gestión de riesgos, según la ISO 31000

La ISO 31000 ofrece algunos principios y directrices que ayudan en la gestión de riesgos cómo:

  • La compañía tiene más probabilidades de cumplir los objetivos propuestos.
  • Cumplimiento de estándares legales en diferentes áreas de la compañía.
  • El manejo de la administración mejora.
  • Se protegen los recursos de la empresa.
  • El desarrollo interno se vuelve más eficaz y eficiente.
  • La toma de decisiones es más confiable gracias a la herramienta para evaluar la gestión de riesgos.
  • Se toma conciencia de la importancia de contar con un sistema de gestión de riesgos y desastres.
  • Se identifican los riesgos a los que está expuesta la empresa.
  • Reduce y divide los riesgos.
  • Da la posibilidad de que exista una planificación.
  • Permite la toma de decisiones oportuna.
  • Se motiva a la junta directiva y a cada uno de los miembros de la compañía.
  • La gobernabilidad dentro de la organización es más eficiente.  
  • Se genera confidencialidad y confianza.
  • Se hacen los controles pertinentes.
  • Se minimizan las pérdidas.
  • Mejora la cultura organizacional. 
  • Genera valor a la organización.
  • Se le da un adecuado manejo a la incertidumbre.
  • Es dirigida a la mejora dentro de la organización.
  • Es amigable al cambio.
  • Se adapta a cualquier situación. 

Proceso de gestión de riesgos, según la ISO 31000

03_PP_checklist_gestion_riesgo_iso_31000

Establecer Contexto del proceso de SGR

Para empezar con el sistema de gestión de riesgos es importante darle un puntaje a cada uno de ellos, ya sean internos o externos.

Es importante entender que los externos son aquellos que se dan por temas naturales, culturales, políticos, etc.

Los riesgos internos son los que están directamente relacionados a la compañía y todo lo que sucede dentro de ella, funciones, estrategias planteadas, temas financieros, procesos y recurso humano.

Identificación de riesgos

Se reconocerá cuáles son los principales riesgos a los que está expuesta la organización, una vez estos se definan, se plantearán otros secundarios que podrían también generar ciertos desajustes dentro de la empresa y a los objetivos propuestos.

Una vez estén establecidos, cada una de las áreas encargadas los asumirá como propios, para que de esta manera puedan ejecutar el plan que se va a llevar a cabo.

Cada área definirá un responsable y estos se reunirán para empezar a identificar los riesgos, conocer cuáles son los factores que los pueden generar.

Se recomienda hacerse las siguientes preguntas para poder tener mayor impacto en esta etapa.

  • ¿Cuál área se puede ver afectada por x riesgo?
  • ¿De qué forma lo afecta?
  • ¿Qué consecuencias trae al área y a la organización en general?
  • ¿Cuál es la probabilidad de que se de?
  • ¿Qué consecuencias traerá?
  • ¿Es posible su prevención?
  • ¿Qué estrategia se debe poner en marcha? 

Análisis de riesgo

Luego de que estén definidos y consignados los riesgos se valorará en qué escala se determinarán y cuáles serán las actividades de control que se ejecutarán, esto con el fin de identificar el impacto que causará, este se divide en:

  • Significativo
  • Alto
  • Moderado
  • Bajo
  • Limitado

Esto permitirá crear un mapa de riesgos el cual servirá como guía para priorizar los riesgos, clasificarlos en una escala de uno a diez, siendo diez el más alto y uno el más bajo, identificar el área encargada y cuál es el plan de acción que deben poner en práctica.

04_PP_checklist_gestion_riesgo_iso_31000

Comunicación consulta

Se busca recopilar información a través de diferentes medios, con el fin de dar a conocer lo que cada una de las áreas han encontrado durante el proceso de implementación de la gestión de riesgos.

Análisis crítico

Se puede definir como la evaluación del plan de gestión de riesgos que se está poniendo en marcha. La idea de esto resaltar las cosas positivas que ha traído la gestión y mejorar en ciertos aspectos que no estén siendo tan efectivos.

Tratamiento del riesgo

05_PP_checklist_gestion_riesgo_iso_31000

Monitoreo

Es importante tener revisiones periódicas que harán saber y entender si los planes de acción que se han implementado en cada uno de los riesgos son los correctos, esto ayudará a entender si la tarea se está haciendo bien y trayendo resultados positivos, o si por el contrario se debe mejorar y en algunos casos cambiar, ya que la gestión de riesgos es un proceso dinámico y se debe retroalimentar de acuerdo a los cambios que se van presentando. 

Ventajas y beneficios

  • Contribuye a mejorar la eficacia operativa y la gobernanza.
  • Genera confianza ya que se utilizan métodos adecuados para la gestión de riesgo.
  • Aplica controles de sistema de gestión para analizar riesgos y de esta manera mitigar las posibles pérdidas.
  • Mejora la resiliencia de los sistemas de gestión.
  • Responde de manera eficiente a los cambios de forma eficiente protegiendo a la organización.
  • Se adapta a cualquier tipo de riesgos sin importar su naturaleza o causa. 

    Nueva llamada a la acción

Compártalo en sus redes sociales