Guía para gestionar riesgos emergentes según la ISO 31050

¿Qué son los riesgos emergentes?, ¿cuáles son sus características?, ¿cómo se desarrollan?, ¿cómo puedes gestionarlos de manera eficaz y eficiente? Sobre esto y más podrás conocer a continuación.

Introducción

Como parte de la gestión de riesgos en las organizaciones, cada vez es más importante incluir la gestión de riesgos emergentes, que deben ser identificados y caracterizados de manera proactiva teniendo en cuenta los cambios que se presenten en el contexto interno y externo de la organización. 

La norma ISO 31050, publicada en octubre de 2023 por la Organización Internacional de Normalización, es una guía para la gestión de riesgos emergentes para mejorar la resiliencia de las organizaciones. 

Esta norma ISO complementa la norma ISO 31000, pues brinda las directrices para aplicar los principios y el proceso general de gestión de riesgos a los riesgos emergentes, que requieren una adecuada comprensión de los aspectos del contexto organizacional. 

Al igual que otras normas ISO, la ISO 31050 es aplicable a cualquier organización y puede personalizarse para adaptarse a diferentes contextos y realidades. 

Estos son algunos de los beneficios de implementarla:

• Tener una mayor concientización, lo cual ayuda a disminuir la probabilidad de no anticiparse a los riesgos emergentes que se pueden enfrentar.
• Tener un reconocimiento temprano de los riesgos emergentes y un mayor nivel de preparación y resiliencia. 
• Poder difundir datos de manera oportuna e intercambiar información entre los grupos de interés. 
• Alinear las acciones sobre riesgos emergentes en todos los aspectos del contexto organizacional. 

A continuación podrás conocer sobre los riesgos emergentes, sus principales características, su desarrollo y su gestión a partir de las directrices de la ISO 31050, que aplica el proceso de la ISO 31000. Igualmente, podrás entender la relación entre la gestión de riesgos emergentes con la resiliencia organizacional.

¿Qué son los riesgos emergentes?

Los riesgos emergentes son aquellos riesgos desconocidos o que no han sido considerados por la organización y que pueden surgir de los diferentes cambios que se presentan en el contexto organizacional, por ejemplo, factores sociales, políticos, económicos, ambientales, tecnológicos, jurídicos e incluso, éticos.

Este tipo de riesgos también pueden derivarse de las relaciones organizacionales y de aspectos de gobernanza interna, culturales y propios de la actividad empresarial como procesos, productos o servicios nuevos o modificados.

Según la ISO 31050, la naturaleza de los riesgos emergentes puede incluir:

• Riesgos que no han sido anteriormente reconocidos o experimentados por la organización.
  
  
• Riesgos conocidos en un contexto nuevo o desconocido en el que la información y conocimientos que se tiene no son suficientes.

• Riesgos sistémicos, es decir, riesgos que pueden amenazar sistemas fundamentales de la sociedad como lo son, por ejemplo, las infraestructuras, los servicios sanitarios y las telecomunicaciones. Estos riesgos van de lo local a lo nacional y mundial.

• Riesgos que evolucionan de manera significativa. 

Principales características de los riesgos emergentes

Teniendo en cuenta la ISO 31050, los riesgos emergentes se caracterizan por:

1. La insuficiencia de datos, la falta de información y de conocimientos adecuados y verificables que apoyen la toma de decisiones

Esto hace que la comprensión de los riesgos emergentes esté muchas veces influenciada por apreciaciones individuales, sesgos cognitivos, dinámicas grupales, datos erróneos o interpretaciones incorrectas que impiden tener una evaluación confiable de las probabilidades y consecuencias. 

Sin embargo, es importante considerar que a medida que estos riesgos evolucionan, también se van a recopilar e interpretar más datos sobre estos, lo que va a generar más conocimiento que permita a las organizaciones identificarlos y tomar mejores decisiones sobre las consecuencias que pueden tener.

2. La incertidumbre, complejidad y volatilidad

Estas características están relacionadas con cambios rápidos e imprevisibles en el contexto de la organización, las personas, los sistemas o los procesos; la variabilidad con la que se pueden presentar y las implicaciones o impactos que puedan tener. Igualmente, tienen que ver con la inestabilidad de los datos y la información disponible sobre estos riesgos. 

3. La dimensión temporal

Tiene que ver, entre otros elementos, con la velocidad con la que se presentan cambios en el contexto organizacional y el ritmo con el que se desarrolla un riesgo emergente. Así mismo, se relaciona con el tiempo que pasa hasta que se cuenta con la información necesaria para comprender y gestionar estos riesgos.

Si bien las anteriores características no son necesariamente aplicables a todos los riesgos emergentes y no son exclusivas de estos, sí es importante conocerlas y considerarlas a la hora de gestionar estos riesgos. 

 

¿Cómo se desarrollan los riesgos emergentes?

Lo primero que hay que saber sobre el desarrollo de estos riesgos es que la aparición de algunas señales o indicadores de cambio en el contexto externo o interno de la organización es indicio de un potencial riesgo emergente. 

Por eso, tal como lo indica la ISO 31050, es fundamental realizar una vigilancia constante a los diferentes cambios que se presenten en cualquier aspecto del contexto organizacional, además, recoger y analizar datos sobre estos de forma continua para así poder determinar su importancia en cualquier elemento y a partir de ahí, elaborar escenarios. 

Hacer esto, así como poder contar con otros datos relevantes, es clave para tener una mejor claridad y comprensión de las situaciones identificadas y de los potenciales riesgos emergentes. 

Aun así, cuando se tiene poco conocimiento o experiencia en estos riesgos, generalmente los datos pueden ser limitados, ambiguos, inexactos o falsos, por eso, como lo indica la norma, la interpretación de los datos en información verificable para la toma de decisiones debe centrarse en reducir las incertidumbres significativas.

Ejemplos de fuentes de riesgos emergentes

Entre otros, algunos cambios que pueden presentarse en el contexto y pueden generar riesgos emergentes para una organización son:

• Fenómenos meteorológicos extremos como olas de calor, olas de frío, lluvias torrenciales, ciclones tropicales, sequías prolongadas, entre otros. 

• Nuevas tecnologías como el Internet de las cosas (IoT), que más allá de las oportunidades que ofrece a las organizaciones, también representa amenazas relacionadas con la seguridad de las redes y los datos, fallas en el funcionamiento del sistema, ataques malintencionados por parte de ciberdelincuentes.

• Resistencia a medicamentos antimicrobianos, que ocurre cuando microorganismos como bacterias, virus, hongos y parásitos cambian a lo largo del tiempo y se vuelven ineficaces a los medicamentos. Esta resistencia, además de dificultar el tratamiento de infecciones y aumentar la propagación de enfermedades, puede significar costes humanos y económicos.

• Riesgos de transición al cambio climático, que se presentan a medida que la sociedad y las organizaciones intentan adaptarse a la realidad del cambio climático y toman acción para reducir las emisiones de gases de efecto invernadero. Un ejemplo de estos riesgos es la aparición de activos que, por cambios en las políticas y regulaciones, quedan obsoletos como los automóviles diésel.
  
  
• Los cambios sociales, la polarización política, las crisis económicas y tecnologías como la inteligencia artificial o el amplio desarrollo de la computación cognitiva, también son ejemplo de cambios en el contexto que pueden favorecer la aparición de riesgos emergentes. 

¿Cómo gestionar los riesgos emergentes?

Hoy en día, la gestión de los riesgos emergentes debe ser una prioridad para todas las organizaciones porque, entre otras ventajas, permite el desarrollo de las operaciones y la prestación de servicios actuales a la par que permite prepararse para enfrentar los riesgos del futuro.

La gestión de los riesgos emergentes está basada en la aplicación de los principios y el proceso de gestión de la norma ISO 31000.

Estos ocho principios son claves para llevar a cabo una gestión eficaz y eficiente de los riesgos emergentes:

1. Integrada

La gestión de riesgos emergentes debe ser parte integral de toda la organización, es decir, de todos los procesos y procedimientos que se realicen. 

2. Estructurada y exhaustiva

Se refiere a aplicar un enfoque ágil para la recopilación e interpretación de los datos para la toma de decisiones. Este enfoque debe permitir un trabajo coherente de identificación y comunicación de los riesgos emergentes.

3. Adaptada

Tanto el marco como el proceso de gestión de riesgos debe adaptarse y reflejar las características propias de los riesgos emergentes, como lo son la volatilidad, la incertidumbre, la complejidad y la ambigüedad; además, debe estar en relación con la misión, objetivos y estrategias de la organización.

4. Inclusiva

Se debe identificar y comprometer a las partes interesadas con los riesgos emergentes. Es importante hacerlo de manera adecuada y oportuna para poder mejorar el conocimiento que se tiene del contexto y de los riesgos emergentes que pueden afectar a la organización.

5. Dinámica

Se refiere a la capacidad que debe tener la organización para anticipar, detectar y responder oportunamente a los cambios, además de tener suficiente flexibilidad en el proceso de gestión de los riesgos emergentes.

6. Mejor información disponible

Ante la falta de antecedentes e información relevante para la evaluación de los riesgos emergentes, es fundamental que la organización garantice una continua recopilación, verificación y análisis de datos que permita obtener información valiosa sobre estos riesgos para la toma de decisiones.

7. Factores humanos y culturales

La información que se tenga sobre los riesgos emergentes puede influir en la cultura y el comportamiento del personal de la organización, por eso, es necesario valorar los aportes que expertos internos y externos realicen sobre esto.

8. Mejora continua

La gestión de riesgos emergentes debe favorecer la generación de nuevas oportunidades, aprendizajes y experiencias para la sociedad y las empresas y la mejora continua es clave para que esta gestión sea eficaz y eficiente. 

Esta mejora incluye, por ejemplo, la recopilación constante de datos, la transformación e intercambio de información y el desarrollo de nuevos y mejores conocimientos. 

La ISO 31050 especifica que para la gestión de los riesgos emergentes, se debe aplicar el proceso de gestión de la ISO 31000:

Comunicación y consulta

La organización debe identificar las diferentes partes interesadas, tanto internas como externas, y establecer medios de comunicación con estas, ya que pueden participar en distintos elementos de la gestión de los riesgos emergentes. 

La colaboración de las partes interesadas, por ejemplo, socios, proveedores, expertos, reguladores, consumidores, medios de comunicación y el público en general, es de gran ayuda para la identificación de los riesgos emergentes, así como para aportar ideas y perspectivas para su gestión. 

Adicionalmente, la comunicación y consulta son esenciales para una rápida toma de decisiones en relación con los riesgos emergentes. 

Alcance, contexto y criterios

Con respecto al alcance y contexto, la norma ISO 31050 indica que la organización debe considerar múltiples aspectos del contexto en el que está, ya que las fuentes de riesgo pueden surgir, por ejemplo, de las relaciones, interacciones o interdependencias que tiene con factores sociales, geopolíticos, ambientales, económicos, tecnológicos, legales y éticos; así como de aspectos de su gobierno interno, culturales y operacionales del negocio. 

La norma resalta que es fundamental tener información contextual amplia y profunda para una gestión eficaz de los riesgos emergentes. Y esto significa ir más allá del contexto actual y considerar cambios y tendencias que pueden convertirse en riesgos; estos cambios, pueden ser graduales o rápidos y es importante que sean evaluados tanto a nivel operativo como estratégico.

Y en cuanto a los criterios, la ISO 31050 indica que la organización debe establecer reglas sencillas para determinar la importancia de un riesgo emergente. Sin embargo, generalmente ante la falta de datos o a la complejidad o ambigüedad de la información disponible, no es tan fácil aplicar estas reglas. 

Por eso, la norma recomienda tener en cuenta otros aspectos, por ejemplo:

• Probabilidad percibida de que ocurra una determinada situación.
• Velocidad a la que se producen los cambios en el contexto.
• Escala temporal en la que pueden producirse las consecuencias. 
• Viabilidad de los controles.
• Opinión de las diferentes partes interesadas. 

Evaluación de los riesgos emergentes

Esta etapa del proceso de gestión de riesgos emergentes, con base en la ISO 31000, consta de:

1. Identificación de los riesgos emergentes

Los riesgos emergentes, en general, son difíciles de reconocer y describir. Los cambios en el contexto son los que ayudan a dar forma a este tipo de riesgos, que como hemos visto pueden surgir de fuentes como las presiones políticas y económicas, los cambios sociales, medioambientales, tecnológicos, entre otros. 

Por eso, más allá de aplicar un enfoque estructurado para la identificación de los riesgos emergentes, la ISO 31050 recomienda utilizar otros métodos o técnicas y fuentes de información, que ayuden a tener una identificación más completa de estos riesgos. 

En este sentido, la organización debe:

• Realizar una investigación constante y completa del contexto en el que se está utilizando diferentes métodos o técnicas que sean útiles para identificar los cambios y posibles riesgos emergentes. 

• Tratar de identificar los riesgos emergentes a nivel estratégico y en toda la organización.

• Considerar y analizar tendencias que puedan generar nuevos riesgos, así como describir fuentes de riesgos y posibles escenarios asociados a esto. 

• Buscar y plantear activamente escenarios con posibles resultados positivos y negativos.

• Identificar indicadores de riesgos emergentes que sirvan como alerta temprana de consecuencias o nuevas oportunidades que estén apareciendo. 

• Revisar constantemente los datos para actualizar las descripciones de los riesgos a medida que se obtenga información más reciente. 

2. Análisis de los riesgos emergentes

El objetivo del análisis es comprender los riesgos para poder tomar decisiones con conocimiento, por ejemplo, si el riesgo emergente es significativo para la organización y cómo se debe responder a este riesgo y con qué urgencia.

Cuando los datos iniciales son limitados, es clave recopilar más datos e información a través de fuentes acreditadas y estos se deben verificar siempre que sea posible. 

Igualmente, la organización debe analizar las fuentes de riesgo emergente, los posibles acontecimientos y escenarios, los efectos positivos y negativos que tendrían en los objetivos y considerar consecuencias en cascada y graves. 

En cuanto a los escenarios, es importante tener en cuenta la magnitud de las consecuencias en los objetivos, la probabilidad percibida y la incertidumbre de las estimaciones. Para obtener una estimación del nivel de riesgo, pueden combinarse las consecuencias y la probabilidad.

Y a medida que se obtienen más datos, la organización debe actualizar la descripción de los escenarios planteados, las relaciones causa-efecto, las estimaciones de consecuencia y probabilidad, al igual que otra información que sea de apoyo. 

Durante todo este proceso, hay que tener presente que la importancia percibida de un riesgo emergente puede cambiar de manera significativa, lo que quiere decir que algunos riesgos pueden volverse insignificantes, mientras que otros pueden incrementar su relevancia. Y la comprensión de los posibles escenarios también puede llevar a identificar nuevos riesgos. 

En esta etapa de análisis de los riesgos emergentes, la ISO 31050 menciona que además de analizarlos individualmente, hay que tener en cuenta las interacciones entre ellos. 

3. Valoración o evaluación de los riesgos emergentes

Los resultados del análisis de los riesgos deben evaluarse a partir de los criterios de riesgo definidos y también, considerando los aspectos sociales, normativos, culturales, medioambientales, entre otros. Es importante que se tengan en cuenta los riesgos emergentes en las decisiones empresariales. 

Aun así, sobre algunos riesgos no es necesario tomar decisiones de manera inmediata, entre otras razones porque no se tiene información suficiente o por ahora son poco importantes para la organización. Esto no significa olvidarse por completo de estos riesgos, sino que deben ser objeto de seguimiento. 

Cuando no hay muchos datos y conocimientos sobre un riesgo emergente es posible que se genere incertidumbre significativa sobre las consecuencias o su probabilidad. En estos casos, puede ser útil identificar posibles acciones y establecer cuáles pueden ser realizadas. 

Tratamiento de los riesgos emergentes

Teniendo en cuenta que las consecuencias y la probabilidad de los riesgos emergentes son generalmente desconocidas, es fundamental que la organización desarrolle la capacidad de anticiparse, prepararse y responder a una amplia variedad de problemas, así como de adaptarse a situaciones inesperadas. 

Algunas de las recomendaciones que debe seguir la organización, según la ISO 31050, son: 

• Analizar diferentes opciones para el tratamiento de los riesgos emergentes, por ejemplo, el análisis de escenarios y el análisis del árbol de eventos pueden ser útiles. 

• Incluir aquellos riesgos emergentes que pueden tener consecuencias graves para la planeación de la continuidad del negocio. 

• Poner a prueba medidas de tratamiento de riesgos que hayan sido aplicadas. 

• Integrar los planes para el tratamiento de los riesgos emergentes en la operación y los procesos de planeación. 

Seguimiento y revisión de los riesgos emergentes

Según lo dispuesto en la ISO 31050, la organización debe: 

• Dedicar un esfuerzo continuo y eficaz al seguimiento y medición del desempeño de la gestión de los riesgos, así como a revisar el marco, la política y el plan definido para los riesgos emergentes. 

• Supervisar, comprobar la eficacia y en caso de ser necesario, mejorar los procesos usados para la comprensión del contexto y la evaluación de los riesgos emergentes. 

• Supervisar continuamente los resultados del proceso de gestión, lo que incluye, por ejemplo, la información del contexto, los riesgos identificados, los datos e información disponible y las medidas que se toman. De esta forma, la organización puede responder rápidamente a cualquier cambio que se presente. 

• Vigilar constantemente el contexto para detectar los cambios y sus posibles efectos, así como para actualizar los datos y la información disponible sobre los riesgos emergentes. 

• Supervisar la eficacia de los controles implementados y las medidas de tratamiento propuestas. Además, establecer sistemas que sirvan para aprender de la experiencia que se tiene con estos riesgos como parte de la mejora continua. 

Registro e informes

Lo primero que se debe tener en cuenta es que la información de los riesgos emergentes, los medios usados y cómo se actualiza y comunica depende de las necesidades específicas de la organización, así como de sus partes interesadas. 

Y, como lo indica la ISO 31050, se deben utilizar registros relativos a los riesgos emergentes para: 

• Proporcionar información oportuna y relevante sobre los riesgos emergentes a los responsables de la toma de decisiones en la organización. 

• Garantizar a las partes interesadas de la organización, internas y externas, que efectivamente se realiza una gestión de riesgos emergentes. 

• Hacer un seguimiento de los cambios y los datos que se tienen sobre los riesgos emergentes y sus controles. 

• Realizar un seguimiento de los avances con respecto a los planes de gestión de los riesgos y los planes de tratamiento. 

Por otro lado, es recomendable que lo que se documente sobre un riesgo emergente contenga información descriptiva del riesgo y de los diferentes escenarios potenciales. Además, si hay información cuantitativa verificada que ayude a la comprensión debe incluirse en la información documentada, la cual debe estar disponible, mantenerse y actualizarse. 

Gestión de los riesgos emergentes y resiliencia organizacional

La resiliencia organizacional es una capacidad clave que deberían desarrollar todas las organizaciones, entre otras cosas porque permite:

• Cumplir los objetivos, sobrevivir y prosperar.
• Prepararse ante las posibles amenazas, absorber sus impactos, recuperarse y adaptarse a las condiciones cambiantes. 
• Adaptarse para aprovechar las oportunidades que traen los cambios, crear valor interno y asumir riesgos. 

Y esto ¿cómo se relaciona con la gestión de riesgos emergentes? 

Según la norma ISO 31050, una gestión eficiente y eficaz de los riesgos emergentes también debería servir para evitar y mitigar posibles fallos al momento de aprovechar oportunidades o sufrir efectos adversos en los objetivos organizacionales. 

Por eso, cada vez es más necesario desarrollar las capacidades de anticipación, resistencia y recuperación y adaptación a los cambios. 

Anticipación

Se trata de estar lo mejor preparado posible para enfrentar acontecimientos inesperados o improbables a través del desarrollo de capacidades y funciones de previsión. Así mismo, tiene que ver con estar preparado para saber aprovechar, antes que la competencia, las oportunidades que ofrecen los cambios que ocurren en el contexto externo.

Resistencia y recuperación

Consiste en poder resistir a las situaciones adversas que ocurren en el entorno y poder recuperarse luego de estas, es decir, volver al estado habitual y restablecer el funcionamiento de la organización.

Adaptación

Tiene que ver con la capacidad de dar respuestas específicas para cada tipo de situación, es decir, poder adaptarse a los acontecimientos adversos y proponer acciones que permitan sacar provecho de estos.

Por otro lado, es importante que estas capacidades también puedan mejorarse a través de la recopilación de los datos que haya disponibles, así como de un análisis significativo de la información y de los conocimientos relevantes para la toma de decisiones sobre los riesgos emergentes.  

Y no hay que olvidar que la inspección continua del contexto externo e interno es fundamental para poder comprender mejor los riesgos emergentes en las organizaciones, además, proporciona la información necesaria para tener, medir y fortalecer los atributos de resiliencia organizacional. 

Conclusiones

• La norma ISO 31050 es una guía para la gestión de riesgos emergentes para mejorar la resiliencia de las organizaciones. Es un complemento de la norma ISO 31000 y es aplicable a cualquier organización.

• En general, los riesgos emergentes pueden incluir:

- Riesgos derivados de cambios no reconocidos en los contextos organizacionales.

- Riesgos creados por la innovación o el desarrollo social y tecnológico.

- Riesgos relacionados con nuevas fuentes o fuentes de riesgo no reconocidas anteriormente.

- Riesgos derivados de procesos, productos o servicios nuevos o modificados.

• La gestión de los riesgos emergentes está basada en la aplicación de los principios de gestión de riesgos de la norma ISO 31000: integrada, estructurada y exhaustiva, adaptada, inclusiva, dinámica, mejor información disponible, factores humanos y culturales y mejora continua. 

• La gestión de los riesgos emergentes igualmente se basa en el proceso de gestión de riesgos descrito en la norma ISO 31000: comunicación y consulta, alcance, contexto y criterios, evaluación de riesgos, tratamiento de riesgos, seguimiento y revisión y registro e informes. 

• Para una gestión eficiente y eficaz de los riesgos emergentes es importante adquirir de forma continua información y conocimientos sobre la función de la organización, su contexto, experiencia y características de los riesgos emergentes.

• La resiliencia organizacional tiene que ver con la capacidad de una organización para anticiparse, prepararse y responder a los cambios del contexto y según la ISO 31050, debería ser un elemento esencial para gestionar eficazmente los riesgos emergentes.
  
  

¿En tu organización ya están gestionando los riesgos emergentes? Crea tu cuenta gratis en Pirani y conoce cómo a través de nuestro software podemos acompañarlos a gestionar de manera más simple y eficaz estos riesgos y así estar preparados para los retos futuros. 

Y si tienes dudas y necesitas más información de nuestros sistemas de gestión, puedes agendar una reunión con uno de nuestros expertos.

Referencia bibliográfica

1. Blog Pirani: ISO 31050 para gestionar riesgos emergentes y mejorar la resiliencia organizacional
2. ISO/TS 31050:2023 Risk Management - Guidelines for managing an emerging risk to enhance resilience