Gestionando riesgos con M_o_R®

– ¡¡¡¡¡Me he dejado el coche nuevo abierto con las llaves puestas en el peor barrio de la ciudad!!!!! ¡¡¡¡¡SOCORRO!!!!!

– Tranquilo, que no cunda el pánico. Conozco una metodología de gestión de riesgos que nos dará la visión adecuada para solucionar este problema… Primero identificaremos las actividades de tu vida que se pueden ver afectadas (como ir recoger a tu mujer, ir a trabajar…) bla bla bla, después identificaremos las amenazas existentes, por ejemplo ocupación enemiga o sustracción. Luego calcularemos el riesgo, mediante una función entre la probabilidad de que suceda y el impacto, descontando de ambos las salvaguardas implantadas…. bla bla bla. ¿Dime cuál es tu apetito por el riesgo? bla bla bla… voy a definir un plan de tratamiento de riesgos….

– ZZZZZZZ

– Perfecto déjame decirte que la solución a tu problema es: Que la próxima vez, cierres el coche y cojas las llave cuando aparques.

 

Estimados lectores, creo que coincidirán conmigo, que en la vida diaria, quizá aplicar una metodología de gestión de riesgos no sea lo más óptimo (aunque a lo mejor el subconsciente funciona con algo parecido). Sin embargo en el ámbito de las organizaciones cada día resuena más el término gestión de riesgos, y es que no solamente se trata de adoptar una metodología de gestión de riesgos, si no de establecer una cultura de gestión de riesgos, para esto es conveniente hacer uso de un marco de trabajo como puede ser la ISO31000 o Management of Risk (M_o_R®).

Hoy les quiero introducir una guía para la gestión de riesgos, M_o_R®. Bien pues, M_o_R® es un marco de trabajo desarrollado por el Office of Government Commerce (OGC) de Reino Unido para la gestión del riesgo. Su primera edición se publicó en 2002 y la actual versión data de 2010 donde se alineo con la norma ISO 31000:2009 y en la cual se definen los principios y guías de implantación de la gestión de riesgos.

Este marco de trabajo se centra en 4 conceptos principales:

1. M_o_R®  principales:

Representa los principios en los que se debe sustentar la gestión de riesgos y sobre los que las organizaciones tienen que desarrollar sus propias políticas, procesos, estrategias y planes. Estos principios son los siguientes:

  • Alinear con los objetivos
  • Adaptarse al contexto
  • Involucrar a las partes interesadas
  • Proporcionar guías claras
  • Informar para la toma de decisiones
  • Facilitar la mejora continua
  • Crear una cultura que de soporte
  • Alcanzar valores cuantificables

2. M_o_R®  approach:

En este apartado se propone como adaptar la gestión del riesgo a las necesidades de la organización, además propone una serie de documentos que deberán ser desarrollados, los 3 principales son:

  • Política de gestión de riesgos
  • Guía del proceso de gestión de riesgos
  • Estrategias de gestión de riesgos

Más otra serie de documentos para dar soporte a estas:

  • Registro de riesgos
  • Registro de problemas
  • Plan de mejora de riesgo
  • Plan de comunicación de riesgo
  • Plan de respuesta a riesgos
  • Informe de progreso de riesgos

3.M_o_R®  process

El proceso de gestión del riesgo, está conformado por un ciclo similar al PDCA compuesto por 4 etapas y una actividad común que es la comunicación. Estas etapas son: Identificación, evaluación, planificación e implementación.

La identificación consiste principalmente en recabar información de la actividad que soporta a la entidad, de las partes interesadas, de los objetivos y del contexto. Así como la identificación de las amenazas y oportunidades aplicables.

La evaluación supone la estimación en términos de probabilidad e impacto de las amenazas y oportunidades previamente identificadas, para posteriormente obtener un cálculo del riesgo existente ya sea de modo cualitativo o cuantitativo.

La planificación sugiere la preparación de medidas específicas para eliminar o reducir las amenazas y maximizar las oportunidades. Algo similar a lo que muchos conoceréis como el Plan de Tratamiento de Riesgo.

En cuanto a la implementación consiste en garantizar que las acciones planificadas para la gestión de riesgos, se implantan y se lleva a cabo una medición de su efectividad. Del mismo modo acometer acciones correctivas en caso de que no  se alcancen las expectativas.

Quiero hacer mención sobre algo relativamente novedoso en el enfoque propuesto dentro del proceso de M_o_R®, y es que no sólo se habla de riesgos y amenazas, si no también de oportunidades, algo que me recuerda en cierto modo al análisis DAFO.

4. Embedding and reviewing M_o_R®

Este apartado se centra en dos ideas, la primera es imbuir en la organización una cultura de gestión del riesgo, sobre todo mediante el conocimiento y concienciación. La segunda es la medición de la efectividad y la idoneidad en la gestión del riesgo. Por lo que respecta a la efectividad a través de indicadores o modelos de madurez. En cuanto a la idoneidad mediante una revisión del apetito por el riesgo.

 

Y hasta aquí ha llegado el resumen sobre M_o_R®. Muchas veces pensamos en el análisis y gestión de riesgos como algo que forma parte de otro proyecto, algo secundario. Pero la gestión del riesgo no es algo que sólo afecte al área TIC, o que sea un requisito para la implantación de un SGSI o del ENS o necesario para la continuidad de negocio, va más allá y abarca mucho más y es lo que persiguen la ISO 31000 o M_o_R®, darle un enfoque más transversal a la gestión del riesgo dentro de un organización, más integrado con el negocio. ¿Cómo evolucionará la gestión del riesgo? Eso sólo el tiempo lo dirá…

Para concluir me van a permitir despedirme con un cliché clásico en esto de la seguridad pero adaptado a los riesgos. La gestión de riesgos no es un proyecto o un producto, es un Proceso.

 

Comments

  1. Hay que estar renovandose constantemente sobre estos temas, tener una buena estrategia y una metodologia clara es muy pero que muy importante.

  2. La entradilla me hubiera gustado más si acabase así:

    “- Perfecto déjame decirte que la solución a tu problema es: Que comas más verduras ordenadas cromaticamente.”

    Es más parecido a los resultados que se suelen sacar…