Gestión de riesgos emergentes: Norma ISO 31050 para mejorar la resiliencia

Sobre la estructura de la ISO 31050

Esta normativa para la gestión de riesgos emergentes que puede enfrentar una organización está conformada por ocho cláusulas y 6 anexos.

Cláusulas

4.1 Naturaleza de los riesgos emergentes

4.2 Caracterización de los riesgos emergentes

4.3 Desarrollo de riesgos emergentes

4.4 Relación entre la gestión de riesgos emergentes y la resiliencia organizacional

5.1 Generalidades

5.2 Integrado

5.3 Estructurado y completo

5.4 Personalizado

5.5 Inclusivo

5.6 Dinámico

5.7 Mejor información disponible

5.8 Factores humanos y culturales

5.9 Mejora continua

6.1 Aplicación del proceso ISO 31000 a los riesgos emergentes

6.2 Comunicación y consulta

6.3 Ámbito de aplicación, contexto y criterios

6.4 Evaluación de riesgos

6.5 Tratamiento de riesgos

6.6 Seguimiento y revisión

6.7 Registro y presentación de informes 

7.1 Desarrollo de capacidades

7.2 Riesgos emergentes e indicadores de resiliencia

8.1 Descripción general

8.2 Aplicación de conocimientos a las decisiones sobre riesgos emergentes

Anexos

Anexo A - Ejemplos de cambio de contexto que pueden ser fuente de riesgos emergentes.

Anexo B - Ejemplo de descripción de riesgos emergentes o plantilla de registros.

Anexo C - Riesgos sistémicos.

Anexo D - Ejemplos de factores que pueden influir en la gestión de riesgos emergentes.

Anexo E - Ciclo de conocimiento e inteligencia de riesgos para la gestión de riesgos emergentes.

Anexo F - Ejemplo de plantilla de indicador de resiliencia completa.  

Riesgos emergentes en la ISO 31050

En términos generales, los riesgos emergentes son aquellos que son desconocidos o no han sido considerados por la organización. En este sentido, pueden afectar la resiliencia, la seguridad y la continuidad operativa. 

Entre otros, los riesgos emergentes pueden incluir:

• Riesgos generados por cambios no reconocidos en el contexto organizacional.
• Riesgos causados por la innovación o el desarrollo social y tecnológico.
• Riesgos relacionados con nuevas fuentes o fuentes de riesgo no reconocidas anteriormente.
• Riesgos asociados a procesos, productos o servicios nuevos o modificados. 

Y en cuanto a las consecuencias que estos riesgos pueden generar, la ISO 31050 destaca:

• Exposición a peligros y amenazas imprevistas con resultados inciertos.
• Mayor exposición a peligros y amenazas provenientes de fuentes de riesgo conocidas.
• Oportunidades perdidas o ganadas.  

Por otro lado, es importante mencionar las principales características de este tipo de riesgos, por ejemplo:

• Novedosos e imprevisibles.
• Inciertos.
• Complejos y cambiantes.
• Pocos datos y sin información verificable. 
• Surgen de tendencias globales.
• Si son conocidos, presentan una evolución inesperada.

Fuentes de los riesgos emergentes

Algunas de las fuentes de riesgos emergentes, incluidas en el Anexo A de la ISO 31050, son:

• Cambio climático: desastres naturales y climas extremos.
• Nuevas tecnologías: internet de las cosas, inteligencia artificial, computación cuántica.
• Seguridad de la información: ataques cibernéticos.
• Salud: pandemias y enfermedades infecciosas, resistencia a medicamentos.
• Presiones políticas y económicas: inestabilidad geopolítica, inestabilidad financiera, políticas monetarias y fiscales.
• Cambios sociales: tensión y movimientos sociales. 

Conocer estas fuentes de riesgos emergentes es importante porque permite a los responsables de su gestión en las organizaciones estar alertas y vigilantes para identificarlos oportunamente. 

Etapas de gestión de riesgos emergentes

Uno de los principales objetivos de gestionar los riesgos emergentes es poder mejorar la resiliencia organizacional. Para lograr esto es importante tener en cuenta cada una de las etapas del proceso de la ISO 31000 a los riesgos emergentes, es decir: 

1. Identificación de riesgos

Aquí se identifican los distintos riesgos emergentes a los que está expuesta la organización. Para hacerlo es importante hacer un escaneo del horizonte, esto implica recopilar información, tener en cuenta cambios en el contexto, alcance y criterios organizacionales; analizar tendencias que pueden generar nuevos riesgos; planear y analizar posibles escenarios futuros con resultados positivos y negativos; definir indicadores para este tipo de riesgos, entre otras acciones. 

2. Análisis y evaluación de riesgos

En general, se trata de evaluar el estado actual y esperado de los riesgos, teniendo en cuenta aspectos regulatorios, políticos, económicos, sociales, tecnológicos, ambientales, culturales, etc.

Igualmente, para la evaluación de los riesgos emergentes esta normativa recomienda aplicar algunas de las técnicas de evaluación de la ISO 31010, por ejemplo: percepción, incertidumbre, conocimiento, comunicación y responsabilidad. 

3. Tratamiento de los riesgos

Las medidas que pueden implementarse para el tratamiento de los riesgos son las mismas que recomienda la ISO 31000: 

• Aceptar el riesgo.
• Mitigar el riesgo en su probabilidad o impacto a través de controles.
• Transferir el riesgo por medio de seguros o contratos con terceros.
• Evitar el riesgo al eliminar la fuente de riesgo o actividad que lo origina.  

4. Monitoreo de los riesgos

Para una buena gestión de los riesgos emergentes, es fundamental verificarlos de manera periódica, esto es, estar al tanto de su comportamiento, del entorno y las tendencias globales para identificar a tiempo otros riesgos que aún no hayan sido considerados y que también pueden afectar el desarrollo normal de las operaciones y su continuidad. Esto le ayuda a la organización a anticiparse y prepararse mejor para enfrentarlos.

Cuéntanos, ¿en tu organización ya están gestionando los riesgos emergentes?, ¿cómo lo están haciendo? 

En Pirani podemos acompañarte a hacerlo de una manera más simple, eficiente y efectiva a través de nuestro sistema de gestión ORM. Crea tu cuenta gratis en el Plan Free y conoce más o también puedes agendar una reunión con uno de nuestros expertos para resolver tus dudas.