miércoles, 19 de enero de 2011

El Estándar ISO 31000:2009 Directrices y Principios para la Gestión de Riesgos

Tributo al AS/NZ4360 Risk Management Standard

"...Y el sentido común prevaleció." Pasaron más de 10 años, para que se comprendiera que la gestión de riesgo operacional no es simplemente un tema que consiste en desarrollar un marco de trabajo a través del cual se establecen procedimientos para administrar los riesgos, que son derivados o habilitados por los medios y componentes utilizados para alcanzar los objetivos en una organización. En un artículo publicado en este muro hace unos días[1], se enaltece la práctica de riesgo operacional, pues se destaca que dicho marco de trabajo, debe perseguir el logro de los objetivos del negocio, más allá que la simple esencia de mitigar los riesgos. Se argumenta esto, debido a que si bien, la idea es mitigar riesgos, muchas veces, los especialistas se pierden en el mar de escenarios repletos de riesgos identificados, con niveles de importancia (frecuencias e impactos) que no siempre, vistos fuera de contexto reflejan la verdadera severidad. Resultando que, el contexto no es más que el objetivo que es perseguido por los procesos dentro de la organización específica, en la cual se evalúan los riesgos.

Todo esto, en breves palabras y menos drama, lo establece el ISO 31000[2]. En principio, éste estándar ofrece una nueva definición, que derriba barreras de suma importancia, para la práctica de riesgo operacional en el mundo de las organizaciones. Esto es porque define el riesgo (operacional) como: El Efecto de la Incertidumbre sobre los Objetivos. La importancia de dicha definición estriba en que ahora no puede ser vista la gerencia de riesgos como un tema de una unidad especializada de la organización; sino de toda la organización. Por cierto, siempre se había dicho asi, sólo que, por no existir un estándar que así lo estableciera, no se consideraba correcto. Esta situación no es más, que el sentido común tomando posición en la gerencia de riesgos.

El antecedente a este estándar no es otro que el destacado y exitoso AS/NZ4360[3], eternamente nombrado en este muro a través de los artículos. Este estándar, desarrollado en Australia y Nueva Zelanda, ha marcado desde 1999, las líneas de acción de muchas organizaciones a nivel global en materia de riesgo operacional, tanto para el ámbito cualitativo, como semi cuantitativo. Para nuestra práctica en la organización[4] ha servido como guía metodológica desde 2004; y ha permitido fortalecer el criterio y conocimiento de unas cuantas (muchas) personas que se han dispuesto a administrar los riesgos, en particular el complejo, pero fascinante riesgo operacional.

El estándar ISO 31000 acoge prácticamente todo el AS/NZ4360; adicionalmente, incorpora once (11) principios clave, en los cuales, se recomienda, por la novedad que imprime a un estándar de riesgos, revisar con detalle cinco (5) de ellos, enunciados a continuación:

Principio I: La Gerencia de Riesgos crea y protege valor
Principio II: La Gerencia de Riesgos es parte integral de los procesos de la organización
Principio III: La Gerencia de Riesgos es parte de la toma de decisiones
Principio V: La Gerencia de Riesgos es sistemática, estructurada y oportuna
Principio XI: La Gerencia de Riesgos facilita el mejoramiento continuo de la organización

Lo anterior brinda a la gerencia de riesgos el piso firme para desarrollar el modelo de gestión de riesgo operacional más amplio y con poder para abarcar todos los objetivos que se soporten en la estrategia del negocio, respondiendo así al cuestionamiento constante, si debe considerarse la gestión de riesgo operacional, como un asunto estratégico[5].

Respecto al marco general de trabajo, el cual permita incorporar la práctica basada en el estándar en todos los niveles de la organización, se desarrollaron unas guías de importante valor que orientan con detalle las acciones a ejecutar, agrupadas en el siguiente ciclo continuo:
  • Diseño del marco de gestión de riesgos
  • Implementación de la gestión de riesgos
  • Monitorización y revisión del marco de riesgos
  • Mejoramiento continuo del marco
Un aspecto relevante del ISO 31000; y que nos agrada saber; es que, en el centro del marco de gestión de riesgos, está el proceso de evaluación (risk assessment), el cual se mantiene casí identico al apreciado y efectivo AS/NZ4360.

En resumen, el estándar ISO 31000 adopta lo mejor del mundo gerencial y de riesgos; además hace justicia a los especialistas de riesgo que han luchado constantemente por hacerse ver en las organizaciones como factores críticos de éxito en las estrategias de negocios, los cuales, cuando logran hacer funcionar adecuadamente dicha gestión, los objetivos de las organizaciones se logran, sin mayores traumas.

[1] Conocer la Organización para aplicar la Gestión de Riesgo Operacional http://bit.ly/f9e1Eo
[2] ISO 31000 Risk Management - Principles and Guidelines
[3] Risk Management AS/NZS 4360:2004
[4] Modelo de Riesgo Operacional de Durán & Asociados, Consultores de Riesgo www.da.com.ve
[5] La Gestión de Riesgo Operacional como estratégia de Negocios http://bit.ly/gjUAas

viernes, 14 de enero de 2011

La Gestión de Riesgo Operacional como Estrategia de Negocios

En la mayoría de las normativas relacionadas con riesgo operacional, con las cuales hemos tenido que trabajar; se identifica, que su gestión se orienta en una alta proporción a la tecnología. Esto tiene sentido, pues existen muy pocos procesos en cualquier organización, que no tengan alguna dependencia tecnológica. Es por ello, que la gestión de riesgo operacional en algunas organizaciones, enfocada principalmente en la tecnología.

Siendo la tecnología un componente estratégico; y partiendo de lo anteriormente comentado, que el riesgo tecnológico es el mayormente considerado en la gestión de riesgo operacional; en consecuencia, es altamente recomendable que la gestión de riesgo operacional sea considerada una estrategia del negocio. Veamos el porqué:
  1. La inadecuada planificación de la tecnología, puede ocasionar que se desarrollen proyectos que no tengan nada que ver con la estrategia del negocios. Esto a su vez genera afectación presupuestaria y sobrecarga de los especialistas, pues además de desarrollar proyectos que no eran los indicados, y además, si aun queda dinero, desarrollar aquellos que la estrategia exige.
  2. No planificar el crecimiento y efectos de la demanda, sobre la infraestrutura de la tecnología de información, conlleva a que se tendrán que hacer compras no programadas de licencias, almacenamiento, equipos. Aun más dificil de obtener sin la previsión del caso, servicios tal como, ancho de banda o almacenamiento remoto; el cual no siempre está disponible. Esto afecta la estrategia de negocios.
  3. No haber desarrollado una práctica que permita clasificar los activos de información, determinando con ello el nivel de protección que debe aplicársele; puede conllevar a que la información pueda ser alterada, destruida o ser sujeta a uso indebido.
  4. No desarrollar medidas que garanticen la continuidad de la operación y la estrategia de recuperación de los servicios críticos, soportados en la tecnología, puede conducir a una afectación seria a extremadamente severa, tal como la quiebra de la organización.
  5. No entrenar adecuadamente a los usuarios con los servicios criticos, que sean soportados en la tecnología; puede conllevar a no aprovechar las máximas capacidades, generar errores constantemente o simplemente estar en presencia de alto nivel de reprocesos.
  6. No monitorizar los acuerdos de nivel de servicios, establecidos para los servicios de tecnología de información; conllevará a desconocer absolutamente si las cosas se están haciendo bien o no. Puede conllevar a no saber en donde nos encontramos en un momento dado en lo que a la gestión tecnológica se refiere.
Lo anteriormente descrito, contiene factores de riesgo tecnológico, que deben ser gestionados por la práctica de riesgo operacional. Es evidente que, inadecuadamente administrados, pudieran generar pérdidas para la organización. Algunos con niveles de severidad que ocasionarían interrupciones abruptas de la operación normal y en consecuencia, la quiebra del negocio.

Es por ello que la práctica de riesgo operacional, no es un simple marco de trabajo en el cual se establece la colección de eventos de pérdida o cuasi pérdida para evaluar posibles acciones de mitigación. La gestión de riesgo operacional implica desarrollar programas integrales, los cuales requieren de especialistas para atender prácticas de seguridad de información, gerencia de la continuidad de negocios y planificación de tecnología de información. Por tales razones, es necesario que en la estrategia del negocio, cuando se piense en los factores de riesgo tecnológico y lo potencialmente destructivos que pudieran ser si no se controlan, el riesgo operacional, siempre sea considerado.

La nueva normalidad era un juego de niños

Foto: StellaDi Pixabay Creo que "la nueva normalidad" era cosa de 90 días. Eso ya no existe. Pienso que lo cierto es una nueva rea...