Checklist para la gestión de riesgos, según la ISO 31000

Una de las maneras más sencillas y eficaces para empezar a gestionar el riesgo en tu empresa es elaborando un plan de riesgo y una lista de chequeo, herramientas claves para cualquier proyecto. 

Introducción

Las organizaciones se ven expuestas a diferentes tipos de riesgos y para poder definirlos y gestionarlos es clave utilizar herramientas como la checklist o lista de chequeo, que de acuerdo con la norma ISO 31000 es necesaria para la gestión de riesgos.

En el siguiente especial te contaremos sobre la importancia de contar con una checklist para la gestión de riesgos en tu empresa y sobre los parámetros que debes seguir para hacerla.

Norma ISO 31000

Antes de entrar en detalle de por qué es importante tener una checklist o lista de chequeo para la gestión de riesgos, recordemos que la norma ISO 31000 es una guía o referente internacional que ofrece directrices y principios para poner en marcha los sistemas de gestión de riesgos.

Fue publicada en noviembre del 2009 por la Organización Internacional de Normalización (ISO) para que las compañías puedan gestionar sus riesgos de una manera efectiva a través de procedimientos que les permitan cumplir sus objetivos de negocio.

La norma ISO 31000 cuenta con insumos globales que permiten realizar una adecuada y eficiente gestión de riesgos enfocados en operatividad, gobierno y confianza, además, brinda recomendaciones de mejores prácticas en la gestión de riesgos las cuales ofrecen técnicas apropiadas en seguridad en el lugar de trabajo.

Esta norma puede ser usada por cualquier tipo de entidad, sin importar el sector al que pertenezca, pues ofrece estrategias de decisión, operaciones, y procesos para los riesgos, ajustándose así a cualquier escenario. 

Aunque la ISO 31000 no es una norma certificable, implementarla permite minimizar las amenazas al riesgo en cualquier momento, además, la mayoría de los entes reguladores la toman como referencia para la promulgación de normas aplicables. 

Esta norma internacional define la gestión de riesgos como las actividades que se realizan para seguir y controlar los riesgos a los que se ven enfrentadas las compañías. Se debe tener en cuenta que uno de los aspectos más importantes es la cuantificación y para eso se divide en:

Consecuencia: son los eventos que afectan al cumplimiento de los objetivos y que son procedentes de otros, aquí se tienen en cuenta aquellos que se clasifican en causa-efecto. 

Probabilidad: es la posibilidad de que un evento pueda suceder. En este punto es importante que las organizaciones contemplen que estos hechos pueden provenir de las decisiones que tomen. Se divide en cinco escalas: raro, probable, improbable, posible y muy frecuente.

Checklist: qué debe tener y para qué sirve

Una checklist o lista de verificación debe contar con patrones básicos de seguridad que permitan evaluar e identificar las oportunidades o vulnerabilidades de activos, procedimientos automatizados y no automatizados y de flujo de información.

Teniendo como base la lista de verificación podrás determinar si el resultado del impacto o la ocurrencia de un riesgo es negativo o positivo. Además, ten presente que para poder analizar de manera más profunda requieres información adicional, que obtienes por medio de documentos ya existentes en los que se evidencie el análisis del impacto o la evaluación de criticidad de los riesgos.

La checklist se utiliza en diferentes etapas de la gestión de riesgos y debe contar con un registro y documentación de todos los datos que se recopilen para validar así la eficiencia del sistema.

Además, la lista de chequeo se usa en grupos de inspección o en auditorías internas para identificar aspectos críticos de un proceso y puede ser utilizada como complemento de otros métodos más complejos para gestionar el riesgo operativo, especialmente en algunos requerimientos del análisis what if.  

Incluso en los análisis de causa raíz se utiliza una lista gráfica de chequeo, pues ayuda a identificar las causas que generan un problema o un defecto recurrente.

Son muchas las razones por las cuales es conveniente incorporar una lista de chequeo para la administración y gestión de riesgos en las organizaciones, estas son algunas:

• Permite plantear una estrategia sistemática basada en datos históricos de la empresa.
• Puede emplearse para refinar análisis más detallados, por ejemplo, análisis de causa raíz.
• Puede aplicarse a cualquier actividad o proceso.
• Mejora la cultura de riesgo en la organización.
• Es fácil de implementar, de hecho, puede hacerla cualquier persona de la compañía que esté capacitada para entender las preguntas de la lista, sin requerir la supervisión de un experto en gestión de riesgos.
• Facilita el proceso de auditorías internas optimizando el tiempo de entrevistas y documentación.
• Genera listas cualitativas para corregir posibles errores o fallos.

Por otro lado, aunque las listas de verificación pueden enriquecer el análisis y ayudar a identificar las amenazas, también tienen algunas limitaciones.

Por ejemplo, cuando son usadas como un único método es probable que no permitan identificar algunos problemas potenciales. Dado que están basadas en asuntos concretos, si no se direccionan hacia áreas claves de la compañía o problemas críticos, es posible que pasen por alto ciertas debilidades que deben ser atendidas.

Adicionalmente, las listas de chequeo solo ofrecen información cualitativa. Este análisis simplificado puede servir para gestionar el riesgo en áreas específicas de la compañía, pero si se requiere una evaluación integral, es conveniente que utilizarlo como complemento de algún recurso que incorpore cuantificación al análisis, por ejemplo, una herramienta como Pirani para la gestión integral de riesgos.

Criterios para elaborar una checklist

Lo primero que debes tener en cuenta es que una checklist para la gestión del riesgo siguiendo la norma ISO 31000 te permite identificar los riesgos evidentes a los que puede estar expuesta la compañía y también los de poca probabilidad, así mismo, puedes crear un cuestionario de preguntas para verificar si realmente esos riesgos existen.

Recordemos lo que dice la norma sobre el riesgo, "es el impacto negativo o positivo generado por una vulnerabilidad u oportunidad, considerando tanto la probabilidad de ocurrencia como el impacto”. 

De acuerdo con esto, una adecuada gestión de riesgos permite a las empresas llevar a cabo sus operaciones de manera normal en caso de que se presente alguna amenaza.

Una checklist o lista de verificación debe incluir criterios como los siguientes por área:

Alta Dirección

1. Asignación de responsabilidades.
2. Soporte para la continuidad del negocio.
3. Competencias para la respuesta a incidentes.
4. Revisión periódica de los controles de seguridad.
5. Análisis de riesgos.
6. Entrenamiento técnico y de seguridad.
7. Segregación de servicios.
8. Plan de Seguridad.

Operaciones

1. Control de la contaminación del aire.
2. Control para garantizar la calidad de la energía eléctrica.
3. Acceso y uso de los medios de datos.
4. Control de humedad y temperatura.
5. Control de equipos informáticos (ordenadores portátiles o de escritorio).
6. Control de máquinas y equipos destinados a la producción.

Técnica

1. Comunicaciones.
2. Criptografía.
3. Controles de accesos.
4. Identificaciones y autenticaciones.
5. Detección de intrusos.
6. Auditorías del sistema.

Cómo hacer una checklist

Para elaborar una lista de chequeo, hay que basarse en una serie de criterios que ayuden a formular las preguntas pertinentes y a abordar los asuntos más importantes.

Aquí te explicaremos qué debes tener en cuenta, además, podrás descargar una guía para que hagas la checklist según las necesidades de tu empresa o proyecto:

• Define los focos de riesgo, pueden ser de seguridad, ambientales, económicos, entre otros, y todo lo que pueda afectar el desarrollo de la organización.
• Divide los aspectos del proyecto: actividades, personal, tiempos de entrega, presupuesto y procesos.
• Recoge o crea listas de chequeo para cada uno de los problemas y formula diferentes preguntas relacionadas con el tipo de problemas potenciales que quieres analizar.
• Responde a las preguntas formuladas en la lista de chequeo y designa un equipo guiado o compuesto por expertos para responder cada uno de los ítems de la lista. Al final del proceso, incluye recomendaciones para mejorar o mitigar los riesgos que parecen inminentes o probables.
• Usa los resultados para tomar decisiones, evalúa las recomendaciones incluidas en el análisis e implementa aquellas que traerán más beneficios que costos. Asigna responsables para cada riesgo y haz un monitoreo del proceso. 
  

Principios para la gestión de riesgos, según la ISO 31000

La norma ISO 31000 ofrece algunos principios y directrices que ayudan a la gestión de riesgos:

• La compañía tiene más probabilidades de cumplir los objetivos propuestos.
• Cumplimiento de estándares legales en diferentes áreas de la compañía.
• El manejo de la administración mejora.
• Se protegen los recursos de la empresa.
• El desarrollo interno se vuelve más eficaz y eficiente.
• La toma de decisiones es más confiable gracias a la herramienta para evaluar la gestión de riesgos.
• Se toma conciencia de la importancia de contar con un sistema de gestión de riesgos y desastres.
• Se identifican los riesgos a los que está expuesta la empresa.
• Reduce y divide los riesgos.
• Da la posibilidad de que exista una planificación.
• Permite la toma de decisiones oportuna.
• Se motiva a la junta directiva y a cada uno de los miembros de la compañía.
• La gobernabilidad dentro de la organización es más eficiente.  
• Se genera confidencialidad y confianza.
• Se hacen los controles pertinentes.
• Se minimizan las pérdidas.
• Mejora la cultura organizacional. 
• Genera valor a la organización.
• Se le da un adecuado manejo a la incertidumbre.
• Es dirigida a la mejora dentro de la organización.
• Es amigable al cambio.
• Se adapta a cualquier situación. 

Proceso de gestión de riesgos, según la ISO 31000

1. Establecer el contexto del Sistema de Gestión de Riesgos

Para empezar con el sistema de gestión de riesgos es importante darle un puntaje a cada uno de estos, ya sean internos o externos. Estos últimos son aquellos que se dan por temas naturales, culturales, políticos, etc., mientras que los internos son los que están directamente relacionados con la compañía y todo lo que sucede en ella, funciones, estrategias planteadas, temas financieros, procesos y recurso humano.

2. Identificación de los riesgos

En este punto se deben reconocer cuáles son los principales riesgos a los que está expuesta la organización, una vez estos se definan, se plantearán otros secundarios que podrían también generar ciertos desajustes dentro de la empresa y a los objetivos propuestos.

Después de establecidos los riesgos, cada una de las áreas encargadas los asumirá como propios, para que de esta manera puedan ejecutar el plan que se va a llevar a cabo.

Cada área definirá un responsable y estos se reunirán para empezar a identificar los riesgos, conocer cuáles son los factores que los pueden generar. Es recomendable hacer preguntas como las siguientes para tener mayor impacto en esta etapa.

• ¿Cuál área se puede ver afectada por X riesgo?
• ¿De qué forma lo afecta?
• ¿Qué consecuencias trae al área y a la organización en general?
• ¿Cuál es la probabilidad de que ocurra?
• ¿Qué consecuencias traerá?
• ¿Es posible su prevención?
• ¿Qué estrategia se debe poner en marcha? 

3. Análisis de riesgos

Luego de que estén definidos y consignados los riesgos se valorará en qué escala se determinarán y cuáles serán las actividades de control que se ejecutarán, para identificar el impacto que causará, este se divide en:

• Significativo
• Alto
• Moderado
• Bajo
• Limitado

Esto permitirá crear un mapa de riesgos el cual servirá como guía para priorizar los riesgos, clasificarlos en una escala de uno a diez, siendo diez el más alto y uno el más bajo, identificar el área encargada y cuál es el plan de acción que deben poner en práctica.

4. Comunicación y consulta

Se busca recopilar información a través de diferentes medios para dar a conocer lo que cada una de las áreas ha encontrado durante el proceso de implementación de la gestión de riesgos.

5. Análisis crítico

Se puede definir como la evaluación del plan de gestión de riesgos que se está poniendo en marcha. La idea de esto es resaltar las cosas positivas que ha traído la gestión y mejorar en ciertos aspectos que no estén siendo tan efectivos.

6. Tratamiento del riesgo

7. Monitoreo

Es importante tener revisiones periódicas para saber si los planes de acción que se han implementado en cada uno de los riesgos son los correctos. El monitoreo ayuda a entender si la tarea se está haciendo bien y trayendo resultados positivos, o si, por el contrario, se debe mejorar y en algunos casos cambiar porque como sabes, la gestión de riesgos es un proceso dinámico y debe retroalimentarse de acuerdo a los cambios que se van presentando. 

Ventajas y beneficios de implementar la ISO 31000

• Contribuye a mejorar la eficacia operativa y la gobernanza.
• Genera confianza ya que se utilizan métodos adecuados para la gestión de riesgo.
• Aplica controles de sistema de gestión para analizar riesgos y de esta manera mitigar las posibles pérdidas.
• Mejora la resiliencia de los sistemas de gestión.
• Responde de manera eficiente a los cambios de forma eficiente protegiendo a la organización.
• Se adapta a cualquier tipo de riesgos sin importar su naturaleza o causa. 

¿Cómo te pareció esta información sobre la checklist o lista de verificación para la gestión de riesgos? Te invitamos a ponerla en práctica en tu organización, además, a que nos cuentes sobre qué otros temas te gustaría saber o profundizar más a través del blog de nuestra Academia Pirani. 

*Este artículo ha sido revisado y validado por Felipe Perdomo, especialista en riesgos y seguros.