Hace algunos años mis conocimientos en las herramientas de valoración de riesgos se resumían a las matrices de riesgos (matriz de consecuencias/probabilidades). Cuando tuve la oportunidad de recibir talleres para certificarme en la ISO 31000, escuché por primera vez de la ISO 31010.
Describiría esta norma como un abanico de posibilidades y herramientas para explorar opciones en la gestión de riesgos, por medio de métodos como talleres, paneles, sesiones de trabajo, así como medios de documentación que van desde un documento de Excel hasta herramientas estadísticas y programas informáticos.
Si bien, los marcos de gestión de riesgos abordan en sus principios la creación de un inventario de riesgos, evaluar el potencial de impacto y probabilidad; no se limitan en cuanto a la forma o medios, así que depende de nosotros la opción a elegir, la más eficiente.
La ISO 31010 proporciona principalmente orientación sobre la selección y aplicación de técnicas para evaluar riesgos en diversos entornos, de manera que se tomen decisiones acertadas en ambientes de incertidumbre.
Entre algunas técnicas de identificación descritas en la ISO 31010, se pueden mencionar:
- Tormenta de ideas o brainstorming.
- Entrevistas estructuradas.
- Técnica Delphi.
- Listas de verificación o check list.
- Análisis preliminar de peligros (PHA).
- Estudios de peligros y operatividad (EPO-HAZOP).
- Análisis de peligros y puntos críticos de control (APPCC).
- Estructura ¿qué pasaría si? (What it?-SWIFT).
- Análisis de escenario.
- Análisis de árbol de sucesos.
- Análisis de consecuencia.
- Análisis de causa y efecto.
- Curvas FN.
- Índices de riesgo.
- Matriz de consecuencias/probabilidad.
- Análisis costo/beneficio.
- Análisis multicriterio (MCA)
- Análisis del impacto del negocio (BIA)
La selección del método depende de los propósitos, recursos y del tipo de riesgo que estemos evaluando. Un Análisis del impacto del negocio (BIA), por ejemplo, puede contribuir para evaluar riesgos relacionados a la continuidad del negocio.
En un análisis BIA, se deben tener en cuenta los diferentes tipos de impactos que se pueden producir como consecuencia de la interrupción de un proceso, así como el tiempo de la interrupción. Por ejemplo, ¿qué consecuencia tendría la interrupción de los servidores por un ciberataque y cuánto tiempo esta interrupción nos afectaría? ¿En cuánto tiempo nos podríamos recuperar y continuar operando?
Cada organización debe establecer los impactos a considerar, la forma y criterios, así como la escala temporal a utilizar. De manera que los procesos con mayor impacto en el menor tiempo de interrupción serán los más críticos para la organización. Ésta debe ser la salida o el resultado a obtener del análisis BIA.
Otros métodos con mayores niveles de complejidad, como el Análisis Preliminar de Riesgos (APR), implica un análisis semicuantitativo que se realiza para identificar, en las etapas de diseño y definición de un sistema, todos los peligros potenciales y eventos que pueden provocar un accidente.
Por ejemplo, cuando se evalúan los riesgos asociados en la creación de una planta procesadora de alimentos, donde se analizarán las condiciones seguras de las instalaciones, los equipos, exposición a sustancias peligrosas, riesgos medioambientales, contaminación, entre otros.
Existen otras técnicas de apreciación de riesgo más sencillas y de amplio uso como la lluvia de ideas o brainstorming, su objetivo es identificar los posibles modos de fallo, los riesgos, los criterios para la toma de decisiones, y/o las opciones de tratamiento del riesgo, se puede usar en conjunto con otros métodos.
Podemos decir entonces que la ISO 31010 es una norma de apoyo a la ISO 31000 que contribuye a reforzar la gestión del riesgo mediante métodos y directrices que nos ayudarán mejorar los procesos de identificación, evaluación y priorización del riesgo, para poder tomar las mejores decisiones en cuanto a aceptar, eliminar, tolerar o compartir el riesgo.
Te invito a revisar la norma y explorar otros métodos de apreciación de riesgos, verás lo útiles que son para tu Compañía.
Muy buen artículo sobre ISO 31010. Cual método piensas de los enunciados que puede ser útil y accesible para una PyME?
Hola Javier, gracias por tus comentarios y por tu visita a mi página web, eres bienvenido. Respondiendo a tu pregunta, desde mi punto de vista para una PyME que quizá no tenga un área de riesgos robusta desde un inicio, puede comenzar la gestión de riesgos utilizando las listas de verificación o check list que son una manera sencilla de identificar riesgos; esta técnica proporciona una lista de las incertidumbres típicas a considerar, así como controles esenciales de acuerdo a políticas y procedimientos.
Buenos dias, estoy interesado en la certificación iso 31010, por favor me informan si ustedes realizan el curso a personas naturales? curso en linea, calendario, duración, costo, etc.. Gracias.
Hola Heyddy, un gusto saludarla.
He leído varios de sus artículos y me parece muy interesante su forma de abordarlo. Actualmente estoy trabajando mi tesis de licenciatura en este tema y me gustaría hacerle unas preguntas para incluirla como referente sobre las normas internacionales en la materia de riesgos. ¿Me podría colaborar?
Quedo atenta, muchas gracias
En la academia muy poco se difunde publicaicones sobre auditoria basada en riesgos. Por ello es muy necesario e importante todas las publicaciones sobre todo actualizaciones. Muchas gracias por esa difusión
Hola Heyddy. . Tengo muchos años enfrascado en temas de gestión de riesgos y la verdad es que te felicito por tu manera tan sencilla de plantear cada uno de los temas que explicas, haces fácil lo que muchos hacen difícil. Te felicito, sigue por el mismo camino. que tienes muchos seguidores. Un gran abrazo