Siempre que se habla de estándares internacionales como ISO 31000 (gestión de riesgos), ISO 27001 (seguridad de la información), ISO 22301 (continuidad de negocio), etc., se pone encima de la mesa la palabra “valor”.
El caso de la gestión de riesgos es muy particular. Y decimos gestión de riesgos y no digo ISO 31000 porque hablar sólo de la norma ISO puede llevar a engaños, aunque no nos podemos olvidar de que se trata del estándar internacional en gestión de riesgos, y que muchísimas empresas en todo el mundo lo están implementando y están obteniendo magníficos resultados.
Volviendo a los riesgos, ¿de verdad aporta valor gestionarlos correctamente?, sinceramente si. Si vemos la definición de riesgo creo que puede quedar mucho más claro: “Riesgo: incertidumbre sobre la consecución de los objetivos de una organización”. Si pensamos en que la razón de ser de cualquier organización es conseguir sus objetivos, no conseguirlos por culpa de la ocurrencia de riesgos está claro que no es la situación ideal.
¿De qué riesgos estamos hablando?, pues de todo aquello que podamos considerar una amenaza o un impedimento de cara a conseguir nuestros objetivos. Es decir, habrá amenazas económico-financieras, amenazas de seguridad física y seguridad informática (seguridad lógica), amenazas de recursos humanos, amenazas industriales, operativas, propias del mercado o país en el que nos movemos, amenazas legales, etc., aquí ISO 31000 (por volver al estándar internacional) no limita la cantidad de riesgos a gestionar, y eso es bueno.
Pero, ¿qué es gestionar riesgos?, vamos a poner un ejemplo: ¿tenemos la empresa cerca de un río?, tenemos un riesgo; ¿tenemos los sistemas de información anticuados o con pocas medidas de seguridad?, tenemos otro riesgo; ¿tenemos un proveedor crítico que si deja de prestarnos servicio nosotros dejamos de prestar servicio a nuestros clientes?, tenemos otro (gran) riesgo. Y así, a través de reuniones con los distintos departamentos de la organización y sabiendo obtener esa información (para eso estamos las empresas de consultoría que tenemos experiencia en ello) podemos construir un buen análisis de riesgos de la organización. Después vendrá la fase en la que se verá cómo gestionarlos.
¿Hay que analizar todos los riesgos?, no es necesario. Podemos centrarnos en riesgos de un único tipo, podemos centrarnos en un departamento o servicio, o podemos hacerlo por fases y empezar con los riesgos más estratégicos e ir aumentando el nivel de detalle poco a poco hasta llegar a los riesgos más operativos.
Y para todo ello, además de esas reuniones hay que definir y utilizar una metodología de cálculo del riesgo final, que se basará sobre todo en la probabilidad de que las amenazas ocurran y en el daño/impacto que nos ocasionarían de cara a conseguir los objetivos que la organización ha marcado. Conseguir identificar esos escenarios de riesgo, esas amenazas, es la clave del proceso. La metodología es muy sencilla, y cuanto menos la compliquemos más difícil será interpretar después los resultados.
En resumen ¿qué valor aporto si gestiono mis riesgos correctamente?, asegurarme de que, tras un análisis metódico, no hay situaciones que ponen en peligro la viabilidad de la organización.
Fuente: portalcalidad.com
