Establecer el contexto de la estrategia de riesgo de acuerdo a ISO 31000
Establecer el contexto de la estrategia de riesgo implica considerar los factores externos, internos, los diferentes tipos de riesgo, los procesos pertinentes y los planes para medir y auditar los resultados del sistema.
ISO 31000 es la norma internacional que permite evaluar, medir y tratar los riesgos dentro de una organización. Si leemos detenidamente la cláusula 6.3.1 de la norma, notaremos que desde la introducción se habla de la necesidad de establecer el contexto, tema sobre el que se profundiza en la Cláusula 5.3 del mismo estándar.
¿Por qué es importante establecer el contexto de la estrategia de riesgo?
Es relevante que se establezca el contexto de la estrategia de riesgo, dentro del contexto de la organización que es su marco natural. Para ello, el contexto de la gestión de riesgos debe definirse de acuerdo con los objetivos y las actividades de la organización, teniendo en cuenta los factores internos y externos que la afectan.
Es fundamental considerar que la estrategia de gestión de riesgos no es una rueda suelta dentro de la organización. Ella forma parte de un contexto, como parte integral de cada área de la organización, para garantizar la gestión de riesgos efectiva.
Entre otros factores, el contexto de la estrategia de riesgo, de acuerdo a ISO 31000, debe tener en cuenta:
- Las actividades y los objetivos de la organización.
- Los recursos, que deben incluir la rendición de cuentas y las responsabilidades.
- Los registros y los documentos. Su almacenamiento y un proceso estandarizado para los reportes.
- La hora, ubicación, inclusiones y exclusiones específicas.
Establecer el contexto de la estrategia de riesgo – La definición de los criterios
Identificar y definir los criterios de riesgo, hace posible que la organización establezca procesos concretos, eficientes y estandarizados, que permiten gestionar y minimizar el impacto de los riesgos.
Los criterios de riesgo definen el proceso de gestión de riesgos. Para definirlos podemos ayudarnos de las siguientes consideraciones:
- Tipos de incertidumbre, de acuerdo con la naturaleza del riesgo que puede afectar los resultados y los objetivos de la organización.
- Normativas, requisitos legales, regulaciones contractuales y/o voluntarias de la organización.
- La probabilidad de ocurrencia de un incidente generador de riesgo. El impacto y las consecuencias.
- Tiempos de impacto, causas del riesgo y tratamiento del mismo.
- Riesgos múltiples y complejos. La cadena de impacto de riesgo. El riesgo residual.
- ¿Cómo se determina la gravedad de un riesgo?
- ¿Cuáles son los riesgos tolerables?
- ¿Cuáles son las opciones de tratamiento de un riesgo?
Los riesgos tienen que definirse dentro del contexto de la organización, teniendo en cuenta los objetivos y sus actividades, para que su gestión resulte efectiva y eficaz.
Estrategias de riesgos: prever amenazas y oportunidades y aumentar la ventaja competitiva
Una curiosidad es que en el análisis de riesgos se pueden identificar oportunidades. Después de todo, si hay una oportunidad de negocio, pero no existe la capacidad de atender a la demanda, se convierte en un riesgo también.
En un mercado tan competitivo como el actual, este tipo de deslizamiento puede ser fatal. De este modo, analizar, predecir y actuar sobre los riesgos, naturalmente auxilia en el potencial de mercado de la organización, pues trae ventajas competitivas que superponen a la visión de la “masa” del mercado —que no trabaja con gestión estratégica de riesgos-, en relación con amenazas y oportunidades.
Si quiere conocer más información acerca de ISO 31000 para su correcta implementación y gestión de los riesgos, puede acceder a nuestro Curso Online ISO 31000 Gestión de Riesgos Corporativos. Puede consultar sus convocatorias aquí. Así mismo puede acceder a nuestra sección de Oferta Formativa donde encontrará información sobre nuestros cursos y talleres relacionados con los estándares ISO y con el contexto de la estrategia de riesgo.
