ISO/IEC 31010 ISO: International Organization for Standardization Standardization IEC: International Electrotechnical Commission ISO 31000, ISO 31010 E ISO 22301
Como se adelantó en la anterior entrega, existen nomas espec!cas para la gestión del riesgo" Se trata de ISO 31000 e ISO 31010 #, con $n enfo%$e m$cho m&s general, %$e exige la e'al$ación del riesgo, de ISO ((301:(013" )a# %$e aclarar %$e las normas ISO *001:(01+ e ISO 1001:(01+ no exigen la $tili $tilizac zación ión de ning$na ning$na norma norma concr concreta eta ni de herram herramien ientas tas espec espec!ca !cas s para para e'al$ar e'al$ar los riesgos" riesgos" Sin em-argo, em-argo, la tradición tradición metodoló metodológica gica en materia materia de Cali Calida dad d apor aporta ta m$ch m$chas as herra herrami mien enta tas, s, entre entre las las %$e %$e se enc$ enc$en entr tran an las las mencio mencionad nadas as en el artc$ artc$lo lo anteri anterior or"" .a difer diferenc encia ia entre entre la $tiliz $tilizac ación ión de herramientas independientes # apo#arse en referencias como ISO 31000 es $na c$estión de amplit$d de miras: $tilizar la e'al$ación # gestión de riesgos como $na herramienta m&s de gestión, en el primer caso, o considerarla s$ -ase misma, en el seg$ndo" ISO 31000: 31000:(00 (00* * es $na refer referenc encia ia para para integr integrar ar el proce proceso so de gesti gestión ón del riesgo dentro del go-ierno corporati'o de la organización, incidiendo en s$ estrategia, plani!cación, poltica, 'alores, c$lt$ra, procesos de información etc", es decir, %$e se trata de $na norma de gestión en toda regla" .a norma est& estr$ct$rada en tres elementos cla'e, siento el tercero de ellos el m&s rele'ante al menos seg2n la percepción de %$ien escri-e: 4rincipios para la gestión de riesgos, necesarios para garantizar $na efecti'a gestión de riesgos" Son los sig$ientes: crear # proteger el 'alor, estar integrada en todos los procesos de la organización, ser parte de la toma de decisiones, trat tratar ar expl explc cit itam amen ente te la ince incert rtid id$m $m-r -re, e, ser ser sist sistem em&t &tic ica, a, estr estr$c $ct$r t$rad ada a # oport$na, -asarse en la me5or información disponi-le, disponi-le, alinearse al contexto # al per!l de riesgos de la organización, tener en c$enta los factores h$manos # c$lt$rales, ser transparente e incl$si'a, ser din&mica # sensi-le al cam-io #, por 2ltimo, facilitar la me5ora contin$a" 6arco de tra-a5o" Se re!ere a la estr$ct$ra de soporte %$e lle'a a la empresa a integrar la gestión del riesgo en la gestión de la organización" 7icha estr$ct$ra ha de -asarse en el c$mplimiento de $na serie de premisas: la existencia de $na $na pol polti tica ca de gest gestió ión n de ries riesgo gos, s, de indi indica cado dorres de dese desemp mpe8 e8o, o, el alin alinea eami mien ento to de los los o-5e o-5eti ti'o 'os s de gest gestió ión n de ries riesgo gos s con con los los o-5e o-5eti ti'o 'os s empresariales, aseg$rarse del c$mplimiento legal # normati'o, garantizar los rec$rsos adec$ados para garantizar la gestión del riesgo, esta-lecer medios para para la com$n om$nic icac aciión inter nterna na # exter xterna na # todo odo ello ello part partiiendo endo de $n conocimiento exha$sti'o de la organización # de s$ contexto '9ase la relación
ISO/IEC 31010 con lo exigido por la n$e'a ISO *001:(01+" El o-5eti'o de este epgrafe no es tanto indicar las exigencias para la implantación de $n sistema de gestión espec espec!co !co,, como como de marcar marcar las pa$tas pa$tas para para la integr integraci ación ón del sistema sistema de gestión del riesgo con el de Calidad implantado" 4roceso de gestión de riesgos" Se trata del elemento f$ndamental de la norma en 9l se descri-e descri-e el proceso proceso de gestión, propiament propiamente e dicho" El proceso proceso parte del esta-lecimiento pre'io de canales de com$nicación # cons$lta de cara a garant garantiza izarr las 'as 'as de entrad entrada a de infor informac mación ión"" ; partir partir de ah arranca arranca $n proceso %$e a-arca las sig$ientes fases: Esta-l Esta-leci ecimie miento nto del conte contexto xto"" ;naliz ;nalizand ando o el conte contexto xto intern interno o # el exter externo, no, desde todos los p$ntos de 'ista, el alcance del an&lisis # del pro#ecto de e'al$ación, la metodologas # criterios de e'al$ación # la relación con otros pro#ectos" Identi!cación de riesgos: s$cesos # ca$sas ;n&lisis del riesgo, estimando la pro-a-ilidad # las consec$encias teniendo en c$enta los controles existentes E'al$ar los riesgos, seg2n di'ersas metodologas o apo#&ndose en la norma ISO 31010 Esta-lecer decisiones: e'itar el riesgo, aceptarlo o incrementarlo para generar $na oport oport$ni $nidad dad,, elimin eliminar ar la f$ente f$ente del riesgo riesgo,, cam-i cam-iar ar la pro-a pro-a-il -ilid idad, ad, cam-ia cam-iarr las consec consec$enc $encias ias,, compar compartir tir el riesgo riesgo con con tercer terceros os incl$ incl$#en #endo do contratos # !nanciación o mantener el riesgo por decisión propia"
ISO/IEC 31010 aparece como prod$cto de $na e'ol$ción de normas so-re todo >S (+***, -$enas pr&cticas # est&ndares en contin$idad del negocio desarrolladas desde mediados de la d9cada pasada" .as inter interr$p r$pcio ciones nes en el f$ncio f$ncionam namien iento to normal normal de $na organ organiza izació ción n son aconte acontecim cimient ientos os %$e afecta afectan n a la conti contin$i n$idad dad de negoc negocio io"" .os .os desast desastres res nat$rales, las cadas de los sistemas de información # las com$nicaciones, los accidentes, o los fallos energ9ticos s$ceden # ha# %$e estar preparado para afrontarlos" .a =orma ISO ((301 ((301 pretende ser $na resp$esta a los impre'istos impre'istos %$e p$eden oc$rrir en c$al%$ier momento # poner en 5a%$e la contin$idad de c$al%$ier organización" .a estr$ct$ra de ISO ((301 es exactamente ig$al %$e la de ISO *001:(01+, # comparte la ma#or parte de s$s re%$isitos, estando las principales diferencias en el capt$lo ?, %$e recoge los sig$ientes epgrafes: • • • •
•
4lani!cación # control operacional ;n&lisis de impacto en el negocio # apreciación del riesgo Estrategia de contin$idad del negocio Esta-lecimiento e implantación de procedimientos de contin$idad del negocio 4r$e-as # ensa#os
; s$ 'ez el capt$lo * se 'e red$cido a tres tres epgrafes: • • •
S$per'isión, medición, an&lisis # e'al$ación, ;$ditora interna re'isión de la dirección
Como p$ede 'erse, ISO ((301 no es $na norma de e'al$ación del riesgo, sino $na norma %$e exige la e'al$ación del riesgo, de forma %$e ISO 31000 e ISO 31010 se con'ierten en herramientas para s$ c$mplimiento" 7esde l$ego, la integración de s$s exigencias con ISO *001:(01+ res$lta m$# sencilla"