En esta sesión Luis Felipe Perdomo, experto en riesgos de Pirani, nos enseña cómo usar las técnicas de la ISO 31010, dos puntos claves para poder aplicar la norma en nuestras organizaciones, cómo utilizar la ISO, qué debemos comprender sobre las convenciones, ejemplos sobre el diagrama escenario causa y consecuencia y el diagrama de corbatín y cómo llevar a la práctica esta teoría a la herramienta Pirani.

ISO 31010

42 técnicas: Resulta fundamental aplicar técnicas de identificación, evaluación y tratamiento de riesgos (alternativas para calificar , técnicas para testear riesgo o medirlo también para saber que puedo hacer y evitar subjetividad) en una organización. Se trata, por tanto, de una norma más práctica (no es mandatorio es aplicable a la necesidad corporativa).

Cómo usar las técnicas de la ISO 31010

• Alcance, contexto y criterio: Técnicas para obtener puntos de vista de públicos de interés o expertos.
• Evaluación del riesgo - Identificación:
  • Técnicas para obtener puntos de vista de públicos de interés o expertos.
  • Técnicas para identificar riesgos.
  • Técnicas para determinar fuentes, causas y factores de riesgo.
    
• Análisis:
  • Técnicas para identificar riesgos.
  • Técnicas para determinar fuentes, causas y factores de riesgo.
  • Técnicas para el análisis de controles.
  • Técnicas para entender las consecuencias y probabilidades.
  • Técnicas para analizar dependencias e interacciones.
  • Técnicas para proveer una medida del riesgo.

La norma vincula las técnicas con el proceso de la ISO 31000, al explicar cómo se debe usar cada técnica según las diferentes etapas de la evaluación del riesgo. Algunas de las técnicas pueden ser utilizadas durante el proceso.

Sobre la ISO 31010

• Evaluación:
  • Técnicas para obtener puntos de vista de públicos de interés o expertos.
  • Técnicas para evaluar el significado del riesgo.
• Tratamiento del riesgo:
  • Técnicas para el análisis de controles.
  • Técnicas para evaluar el significado del riesgo.
• Grabaciones y reportes:
  • Técnicas para hacer grabaciones y reportes sobre riesgos

Además de la importancia que reviste la gestión del riesgo como método de soporte en la toma de decisiones en cualquier ámbito de las organizaciones, la ISO 31000, y por ende la IEC-ISO 31010, se han convertido en un imperativo para las empresas, en especial para aquellas que buscan certificarse en normas de sistemas de gestión como ISO 9001 de gestión de la calidad, ISO 14000 de gestión del medio ambiente, e ISO 27000 de gestión documental, entre otras, que en su estructura de alto nivel le dan una gran importancia a la gestión del riesgo, materializando en requisitos específicos. Fuente precisa Incontec.

Algunas técnicas

1. Lluvia de ideas.
2. Análisis del impacto del negocio.
3. Mapa causal.
4. Análisis causa–consecuencia.
5. Matriz de consecuencia-probabilidad.
6. Tormenta de ideas o brainstorming.
7. Entrevistas estructuradas.
8. Listas de verificación o check list.
9. Estudios de peligros y operatividad (EPO-HAZOP).
10. Estructura ¿qué pasaría si? (What it? - SWIFT).
11. Análisis de escenario.
12. Análisis de árbol de sucesos.
13. Análisis de consecuencia.
14. Análisis de causa y efecto.
15. Matriz de consecuencias/probabilidad.
16. Análisis costo/beneficio.
17. Análisis multicriterio (MCA).
18. Análisis del impacto del negocio (BIA).

2 puntos importantes

1. La selección del método depende de los propósitos, recursos y del tipo de organización que estemos Evaluando.

2. La norma describe cada una de las técnicas que se pueden utilizar para la identificación, análisis y valoración del riesgo y está dirigida a cualquier funcionario o empleado comprometido en la evaluación y el manejo del riesgo en una empresa.

Cómo utilizar la ISO

Un Análisis del impacto del negocio (BIA), por ejemplo, puede contribuir para evaluar riesgos relacionados a la continuidad del negocio.

En un análisis BIA, se deben tener en cuenta los diferentes tipos de impactos que se pueden producir como consecuencia de la interrupción de un proceso, así como el tiempo de la interrupción. Por ejemplo, ¿qué consecuencia tendría la interrupción de los servidores por un ciberataque y cuánto tiempo esta interrupción nos afectaría? ¿En cuánto tiempo nos podríamos recuperar y continuar operando.

Otros métodos con mayores niveles de complejidad, como el Análisis Preliminar de Riesgos (APR), implica un análisis semicuantitativo que se realiza para identificar, en las etapas de diseño y definición de un sistema, todos los peligros potenciales y eventos que pueden provocar un accidente.

Por ejemplo, cuando se evalúan los riesgos asociados en la creación de una planta procesadora de alimentos, donde se analizarán las condiciones seguras de las instalaciones, los equipos, exposición a sustancias peligrosas, riesgos medioambientales, contaminación, entre otros.

Sobre las convenciones:

SA: Siempre o rotundamente aplicable

NA: No aplicable o No aplica

A: Aplicable