Realizar un análisis de riesgos bajo los estándares ISO (específicamente siguiendo la ISO 31000, que es la guía maestra para todas las demás) no es adivinar qué puede salir mal, sino aplicar un proceso sistemático y repetible. ¿Qué pasos se deberían seguir?
1. Establecer el Contexto: Antes de buscar riesgos, define el alcance. No es lo mismo un riesgo en una planta de alimentos (ISO 22000) que en un servidor de datos (ISO 27001).
2. Identificación de Riesgos: Aquí el objetivo es encontrar qué podría evitar que la organización logre sus objetivos: ¿Qué puede suceder, dónde, cuándo y por qué?
3. Análisis de Riesgos: Una vez identificados, hay que entenderlos. La fórmula clásica es: Riesgo = Probabilidad X Impacto, en donde la probabilidad determina que tan seguido puede ocurrir y el impacto es que tanto podría afectar (financiero, reputacional, legal)
4. Evaluación de Riesgos: Compara los resultados del análisis con tus criterios de riesgo (qué nivel de riesgo está dispuesta a aceptar la empresa), por ejemplo:
- Zona Roja: Riesgos inaceptables que requieren acción inmediata.
- Zona Amarilla: Riesgos tolerables pero que deben monitorearse.
- Zona Verde: Riesgos insignificantes.
5. Tratamiento de Riesgos: Para cada riesgo evaluado como critico de acuerdo a la escala establecida, debes decidir una estrategia:
- Evitar: Eliminar la actividad que genera el riesgo.
- Mitigar: Aplicar controles para reducir la probabilidad o el impacto (ej. instalar un software antivirus).
- Compartir/Transferir: Contratar un seguro o subcontratar a un experto.
- Aceptar: Si el costo de mitigar es mayor que el riesgo mismo, la dirección decide convivir con él.
En la identificación de riesgos se pueden cometer errores como confundir la causa con el riesgo, hacerlo sol una vez, ignorar las oportunidades, entre otros. Para esto es importante recibir una buena fundamentación en los conceptos relacionados y en el propósito de para que estás haciendo esta evaluación.
