La evaluación del riesgo es el proceso global de identificación del riesgo, análisis del riesgo y valoración del riesgo. La organización puede utilizar un rango de técnicas para identificar incertidumbres que pueden afectar a uno o varios objetivos.
A continuación, presentamos cuatro pasos básicos del proceso de evaluación de riesgos de acuerdo con la Norma ISO 31000 2018:
Paso 1 - Identificación riesgos
El propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos. Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada.
Se deberían considerar los factores siguientes:
— las fuentes de riesgo tangibles e intangibles;
— las causas y los eventos,
— las amenazas y las oportunidades;
— las vulnerabilidades y las capacidades;
— los cambios en los contextos externo e interno;
— los indicadores de riesgos emergentes;
— la naturaleza y el valor de los activos y los recursos;
— las consecuencias y sus impactos en los objetivos;
— las limitaciones de conocimiento y la confiabilidad de la información;
— los factores relacionados con el tiempo;
— los sesgos, los supuestos y las creencias de las personas involucradas.
Paso 2 – Análisis Riesgos
El análisis del riesgo se puede realizar con diferentes grados de detalle y complejidad, dependiendo del propósito del análisis, la disponibilidad y la confiabilidad de la información y los recursos disponibles. Las técnicas de análisis pueden ser cualitativas, cuantitativas o una combinación de éstas, dependiendo de las circunstancias y del uso previsto.
El análisis del riesgo debería considerar factores tales como:
— la probabilidad de los eventos y de las consecuencias;
— la naturaleza y la magnitud de las consecuencias;
— la complejidad y la interconexión;
— los factores relacionados con el tiempo y la volatilidad;
— la eficacia de los controles existentes;
— los niveles de sensibilidad y de confianza.
Paso 3 – Valoración de riesgos
El propósito de la valoración del riesgo es apoyar a la toma de decisiones. La valoración del riesgo implica comparar los resultados del análisis del riesgo con los criterios del riesgo establecido para determinar cuándo se requiere una acción adicional. Esto puede conducir a una decisión de:
— no hacer nada más;
— considerar opciones para el tratamiento del riesgo;
— realizar un análisis adicional para comprender mejor el riesgo;
— mantener los controles existentes;
— reconsiderar los objetivos.
Paso 4 - Tratamiento Riesgos
La selección de las opciones más apropiadas para el tratamiento del riesgo implica hacer un balance entre los beneficios potenciales, derivados del logro de los objetivos contra costos, esfuerzo o desventajas de la implementación. El tratamiento del riesgo implica un proceso interativo de:
— formular y seleccionar opciones para el tratamiento del riesgo;
— planificar e implementar el tratamiento del riesgo;
— evaluar la eficacia de ese tratamiento;
— decidir si el riesgo residual es aceptable;
— si no es aceptable, efectuar tratamiento adicional.
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
Nahun Siempre marcando la pauta!! Gracias mil!!!
ResponderEliminarSaludos estimado Nahum, excelente tu artículo,
ResponderEliminarDesde que apareció en el siglo XX, la Gerencia de Riesgos, su objetivo original fue dar a conocer a los empresarios las causas de los problemas inherentes a la producción, hoy en día las teorías de riesgo han evolucionado, no obstante, resulta cuesta arriba que las empresas, a pesar de los beneficios que les aportaría, acepten implementar un buen sistema de gestión de riesgos. Por otra parte, además de los riesgos inherentes ¨tradicionales¨ de los procesos de una empresa, surgen los Riesgos Emergentes a los cuales las organizaciones han de ofrecer una nueva perspectiva para sus procesos de gestión de riesgos y a la asignación de recursos para garantizar que los riesgos emergentes estén debidamente identificados, evaluados y gestionados desde la planeación estratégica y hasta cada nivel de la organización en la ejecución de sus procesos, lo cual presenta aún más resistencia, debido a que son los riesgos cuyo origen es diferente a los riesgos tradicionalmente gestionados por las organizaciones, siendo el producto de la transformación, entre otros, de los entornos laborales, cambios en las condiciones económicas, sociales, demográficas, ambientales, tecnológicas, que tienen un fuerte impacto en la operación del negocio y que por su naturaleza son difíciles de predecir y valorar. Como muestra de esta situación, el gran ejemplo de actualidad es el COVID 19, y en lo sucesivo habrá que considerar otros como por ejemplo los efectos colaterales de los resultados de las elecciones en las grandes potencias mundiales.
Lic.: Wilfredo Rafael Bastardo Velásquez
CPC. 36461