Gestión de riesgos ISO 31000
Siempre que se habla de estándares internacionales como ISO 31000 (gestión de riesgos), ISO 27001 (seguridad de la información), ISO 22301 (continuidad de negocio), etc., se pone encima de la mesa la palabra «valor». Tanto el que trata de explicar en qué consiste el estándar en cuestión como el que trata de comprenderlo; uno explicará el valor que aporta a la organización su implantación y el otro, incrédulo, preguntará si realmente le servirá de algo y le hará vender más.
El caso de la gestión de riesgos es muy particular. Y digo gestión de riesgos y no digo ISO 31000 porque creo que hablar sólo de la norma ISO puede llevar a engaños, aunque no nos podemos olvidar de que se trata del estándar internacional en gestión de riesgos, y que muchísimas empresas en todo el mundo lo están implementando y están obteniendo magníficos resultados. No obstante, como decía, vamos a dejar ISO 31000 al margen aunque lo tomemos como referencia para explicar algunos conceptos.
Volviendo a los riesgos, ¿de verdad aporta valor gestionarlos correctamente?, sinceramente creo que si. Si vemos la definición de riesgo creo que puede quedar mucho más claro: «Riesgo: incertidumbre sobre la consecución de los objetivos de una organización». Si pensamos en que la razón de ser de cualquier organización es conseguir sus objetivos, no conseguirlos por culpa de la ocurrencia de riesgos está claro que no es la situación ideal.
¿De qué riesgos estamos hablando?, pues de todo aquello que podamos considerar una amenaza o un impedimento de cara a conseguir nuestros objetivos. Es decir, habrá amenazas económico-financieras, amenazas de seguridad física y seguridad informática (seguridad lógica), amenazas de recursos humanos, amenazas industriales, operativas, propias del mercado o país en el que nos movemos, amenazas legales, etc., aquí ISO 31000 (por volver al estándar internacional) no limita la cantidad de riesgos a gestionar, y eso es bueno.
Pero, ¿qué es gestionar riesgos?, pues la verdad es que es algo tan fácil que no lo voy a explicar en este artículo desde un punto de vista formal, simplemente voy a poner un ejemplo: ¿tenemos la empresa cerca de un río?, tenemos un riesgo; ¿tenemos los sistemas de información anticuados o con pocas medidas de seguridad?, tenemos otro riesgo; ¿tenemos un proveedor crítico que si deja de prestarnos servicio nosotros dejamos de prestar servicio a nuestros clientes?, tenemos otro (gran) riesgo. Y así, a través de reuniones con los distintos departamentos de la organización y sabiendo obtener esa información (para eso estamos las empresas de consultoría que tenemos experiencia en ello) podemos construir un buen análisis de riesgos de la organización. Después vendrá la fase en la que veremos cómo gestionarlos, que quedará para otro artículo posterior.
¿Hay que analizar todos los riesgos?, no es necesario. Podemos centrarnos en riesgos de un único tipo, podemos centrarnos en un departamento o servicio, o podemos hacerlo por fases y empezar con los riesgos más estratégicos e ir aumentando el nivel de detalle poco a poco hasta llegar a los riesgos más operativos.
Y para todo ello, además de esas reuniones hay que definir y utilizar una metodología de cálculo del riesgo final, que se basará sobre todo en la probabilidad de que las amenazas ocurran y en el daño/impacto que nos ocasionarían de cara a conseguir los objetivos que la organización ha marcado. Conseguir identificar esos escenarios de riesgo, esas amenazas, es la clave del proceso. La metodología es muy sencilla, y cuanto más la compliquemos más difícil será interpretar después los resultados.
Entonces, y volviendo al título del artículo, ¿qué valor aporto si gestiono mis riesgos correctamente?, asegurarme de que, tras un análisis metódico, no hay situaciones que ponen en peligro la viabilidad de la organización. Lo veremos con más detalle en próximos artículos.