CUATRO PASOS PARA LA EVALUACIÓN DE RIESGOS SEGÚN NORMA ISO 31000 2018

Estándar

lunes, 11 de junio de 2018

La evaluación del riesgo es el proceso global de identificación del riesgo, análisis del riesgo y valoración del riesgo. La organización puede utilizar un rango de técnicas para identificar incertidumbres que pueden afectar a uno o varios objetivos.

A continuación, presentamos cuatro pasos básicos del proceso de evaluación de riesgos de acuerdo con la Norma ISO 31000 2018:

Paso 1 – Identificación riesgos

El propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos. Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada.

Se deberían considerar los factores siguientes:

— las fuentes de riesgo tangibles e intangibles;

— las causas y los eventos,

— las amenazas y las oportunidades;

— las vulnerabilidades y las capacidades;

— los cambios en los contextos externo e interno;

— los indicadores de riesgos emergentes;

— la naturaleza y el valor de los activos y los recursos;

— las consecuencias y sus impactos en los objetivos;

— las limitaciones de conocimiento y la confiabilidad de la información;

— los factores relacionados con el tiempo;

— los sesgos, los supuestos y las creencias de las personas involucradas.

Paso 2 – Análisis Riesgos

El análisis del riesgo se puede realizar con diferentes grados de detalle y complejidad, dependiendo del propósito del análisis, la disponibilidad y la confiabilidad de la información y los recursos disponibles. Las técnicas de análisis pueden ser cualitativas, cuantitativas o una combinación de éstas, dependiendo de las circunstancias y del uso previsto.

El análisis del riesgo debería considerar factores tales como:

— la probabilidad de los eventos y de las consecuencias;

— la naturaleza y la magnitud de las consecuencias;

— la complejidad y la interconexión;

— los factores relacionados con el tiempo y la volatilidad;

— la eficacia de los controles existentes;

— los niveles de sensibilidad y de confianza.

Paso 3 – Valoración de riesgos

El propósito de la valoración del riesgo es apoyar a la toma de decisiones. La valoración del riesgo implica comparar los resultados del análisis del riesgo con los criterios del riesgo establecido para determinar cuándo se requiere una acción adicional. Esto puede conducir a una decisión de:

— no hacer nada más;

— considerar opciones para el tratamiento del riesgo;

— realizar un análisis adicional para comprender mejor el riesgo;

— mantener los controles existentes;

— reconsiderar los objetivos.

Paso 4 – Tratamiento Riesgos

La selección de las opciones más apropiadas para el tratamiento del riesgo implica hacer un balance entre los beneficios potenciales, derivados del logro de los objetivos contra costos, esfuerzo o desventajas de la implementación. El tratamiento del riesgo implica un proceso interativo de:

— formular y seleccionar opciones para el tratamiento del riesgo;

— planificar e implementar el tratamiento del riesgo;

— evaluar la eficacia de ese tratamiento;

— decidir si el riesgo residual es aceptable;

— si no es aceptable, efectuar tratamiento adicional.

Blog:

Nahun Frett, MBA, CIA, CCSA, CRMA, CPA, CFE

AUDITOR INTERNO – INSTRUCTOR – CONSULTOR – CONFERENCISTA