El papel de la auditoría interna en la gestión de riesgos en una organización se reconoce hoy como una parte indispensable de las buenas prácticas de gobierno corporativo. Esto ha puesto a los profesionales del riesgo bajo un interés creciente en este proceso que garantiza la mejora continua del sistema.
Los errores a evitar en la identificación y evaluación de riesgos son más frecuentes de lo que podemos suponer, aún para profesionales del área experimentados. La evaluación de riesgos, en su forma más simple, implica imaginar con anticipación los posibles eventos, sus efectos y las consecuencias.
Gestionar los riesgos es importante en todas las organizaciones, no sólo desde el punto de vista comercial, sino también porque es una obligación legal. Por lo tanto, los encargados del área deben tener en cuenta esos errores a evitar en la identificación y evaluación de riesgos.
La gestión de riesgos es una tarea clave en las diferentes áreas de una organización, desde las productivas hasta las económicas. Por ello, el gestor de riesgos ha de ser un profesional de gran exigencia y que cumpla con determinadas cualidades.
Comprender y definir el contexto para la gestión de riesgos en ISO 9001 es una de las modificaciones más importantes promovidas por la revisión 2015 de la norma. Esto supone que el sistema de gestión de la calidad tome en consideración, para la gestión de riesgos, el contexto en el que la organización está insertada.
Además de establecer ese contexto, la organización debe demostrar haberlo hecho. Contar con algunas pautas, como las que ofrecemos a continuación, puede facilitar llevar a cabo este proceso.
El concepto de riesgo residual en ISO 27001 es el mismo que se conoce en el área de gestión de riesgos aplicada a cualquier otro estándar, o en cualquier área de la organización. El término es utilizado con frecuencia, pero generalmente no se entiende ni la importancia ni el significado real que tiene, especialmente para la seguridad de la información.
Su definición es sencilla: el riesgo residual en ISO 27001 es aquel que persiste, aun después de tomar las medidas necesarias para tratar los riesgos identificados. A continuación, nos acercamos un poco más a esta cuestión explicando cómo funciona y se gestiona el riesgo residual en ISO 27001 y cómo saber qué nivel del mismo es aceptable para la organización.
Los gestores responsables del área de riesgos necesitan mantener un ambiente de operación seguro y libre de incertidumbre. Para ello puede ser de gran utilidad conocer las diferencias entre incidentes y problemas, pues esta cuestión resulta altamente recurrente en la gestión de riesgos.
Lo cierto es que la gestión de incidentes y la gestión de problemas, son parte esencial de cualquier buen programa de gestión de riesgos. Por este motivo, hoy abordaremos la diferencia entre ambos, lo que puede evitar la toma de ciertas decisiones erróneas a algunos profesionales de la gestión de riesgos.
La norma ISO 31000 en su nueva versión proporciona una visión más holística y estratégica a los profesionales de la gestión de riesgos. Se incorpora, por tanto, una nueva perspectiva y además constituye un estándar más claro y objetivo para sus usuarios en todo el mundo. Por ello, resulta interesante resaltar algunas cuestiones importantes de ISO 31000:2018 con respecto a su versión anterior de 2009.
Las organizaciones deben implementar una metodología para el análisis de riesgos según ISO 9001, no porque la norma lo exija, sino porque es la forma apropiada para identificar riesgos y tomar decisiones sobre cómo gestionarlos o eliminarlos.
El propósito de una metodología para el análisis de riesgos según ISO 9001 es encontrar problemas potenciales que, eventualmente, pueden surgir durante la elaboración de un producto o en la ejecución de un proceso específico. Así, será posible jerarquizar el riesgo y realizar alguna acción al respecto.
Propietarios de riesgos es un concepto novedoso que incorporó la edición 2013 de la norma ISO 27001. Novedoso y a la vez polémico, ya que generó confusión entre los profesionales de la seguridad de la información, pues parece que reemplaza al antiguo “propietarios de activos” y persiste la duda sobre si este último sigue siendo válido o no.
¿Quiénes son los propietarios de riesgos en ISO 27001:2013?, ¿reemplazan a los “propietarios de activos” presentes en la revisión 2005 de la norma? Estas son las preguntas que respondemos en nuestra entrada de hoy.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
