El nuevo ISO 31000 mantiene simple la gestión de riesgos | Tecnologías de la Información y Consultoria

El nuevo ISO 31000 mantiene simple la gestión de riesgos

 

 

El daño a la reputación o la marca, el crimen cibernético, el riesgo político y el terrorismo son algunos de los riesgos que las organizaciones privadas y públicas de todo tipo y tamaño en todo el mundo necesitan enfrentar con mayor frecuencia. La última versión de ISO 31000 acaba de ser develada para ayudar a manejar la incertidumbre.

El riesgo entra en cada decisión de la vida, pero es evidente que algunas decisiones necesitan un enfoque estructurado. Por ejemplo, un alto ejecutivo o funcionario gubernamental puede necesitar hacer juicios sobre riesgo asociados con situaciones muy complejas. Hacer frente al riesgo es parte de la gobernanza y el liderazgo, y es fundamental para la gestión de una organización en todos los niveles.

Las prácticas de gestión de riesgos de ayer ya no son adecuadas para enfrentar las amenazas de hoy y necesitan evolucionar. Estas consideraciones fueron la base de la revisión de ISO 31000, Risk management – Guidelines, cuya última versión acaba de publicarse. ISO 31000: 2018 ofrece una guía más clara, breve y concisa que ayudará a las organizaciones a utilizar principios de gestión del riesgo para mejorar la planificación y tomar mejores decisiones. Los siguientes son los principales cambios desde la edición anterior:

  • Revisión de los principios de la gestión del riesgo, que son los criterios clave para su éxito
  • Centrarse en el liderazgo de la alta dirección que debería garantizar que la gestión del riesgo se integre en todas las actividades organizacionales, iniciando con la gobernanza de la organización
  • Mayor énfasis en la naturaleza iterativa de la gestión del riesgo, aprovechando las nuevas experiencias, conocimiento y el análisis para la revisión de los elementos del proceso, las acciones y los controles en cada etapa del proceso.
  • Racionalización del contenido con un mayor enfoque en el sostenimiento de un modelo abierto de sistemas que regularmente intercambia retroalimentación con su entorno externo para adaptarse a múltiples necesidades y contextos

Jason Brown, presidente del comité técnico ISO / TC 262 sobre gestión del riesgo que desarrolló el estándar, dice: "La versión revisada de ISO 31000 se centra en la integración con la organización y el papel de los líderes y su responsabilidad. Los profesionales del riesgo suelen estar al margen de la gestión de la organización y este énfasis les ayudará a demostrar que la gestión del riesgo es una parte integral de los negocios ".

Cada sección de la norma se revisó con un espíritu de claridad, utilizando un lenguaje más simple para facilitar la comprensión y hacerla accesible a todas las partes interesadas. La versión 2018 se enfoca más en crear y proteger el valor como el impulsor clave de la gestión del riesgo y presenta otros principios relacionados tales como la mejora continua, la inclusión de partes interesadas, la personalización a la organización y la consideración de factores humanos y culturales.

El riesgo ahora se define como el "efecto de la incertidumbre en los objetivos", que se centra en el efecto del conocimiento incompleto de eventos o circunstancias en la toma de decisiones de una organización. Esto requiere un cambio en la comprensión tradicional del riesgo, lo que obliga a las organizaciones a adaptar la gestión del riesgo a sus necesidades y objetivos, un beneficio clave del estándar. Jason Brown explica: "ISO 31000 proporciona un marco de gestión del riesgo que respalda todas las actividades, incluida la toma de decisiones a través de todos los niveles de la organización. El marco de referencia ISO 31000 y sus procesos deberían integrarse con los sistemas de gestión para garantizar la coherencia y la efectividad del control de gestión en todas las áreas de la organización”. Esto incluiría estrategia y planificación, resiliencia organizacional, TI, gobierno corporativo, RR.HH., cumplimiento, calidad , salud y seguridad, continuidad del negocio, gestión de crisis y seguridad.

El estándar resultante no es solo una nueva versión de ISO 31000. Alcanzar más allá de una simple revisión, le da un nuevo significado a la forma en que gestionaremos el riesgo mañana. En cuanto a la certificación, ISO 31000: 2018 proporciona directrices, no requisitos, y por lo tanto no está destinado a fines de certificación. Esto le da a los gerentes la flexibilidad para implementar el estándar de una manera que se adapte a las necesidades y objetivos de su organización.

Brown agrega que el objetivo principal de ISO / TC 262 es ayudar a las organizaciones a garantizar su viabilidad y éxito a largo plazo, en interés de todas las partes interesadas, proporcionando una buena práctica de gestión del riesgo. Porque "fracasar en la gestión del riesgo es inherentemente un riesgo de fracaso".

 

Traducción no oficial realizada con fines de difusión

Fuente : 

Artículo original en la web de ISO : https://www.iso.org/news/ref2263.html

_____________________________________________________________

Esperamos que esta información pueda ser de utilidad para los interesados.

Si usted esta interesado en estos temas puede contactarnos a info@gtdi.pe

Norma relacionada: 

Protección de datos personales Gobernanza TI  SGSI - 27001