Integración del riesgo y las normas ISO
Saber adoptar el riesgo como vía de mejora es algo que algunas organizaciones saben hacer mejor que otras, a menudo sin saberlo. De hecho, una organización que teme el riesgo, a menudo todo aquello con lo que no está familiarizada (como la seguridad de la información) podría estar perdiendo una ventaja. La aversión al riesgo, el ir a lo seguro, puede significar que una organización no esté dando su máximo rendimiento.
Es fácil decir que las organizaciones deben aceptar el riesgo, pero es menos fácil hacerlo cuando hay mucho en juego. Por eso, las normas ISO de sistemas de gestión aportan un valor añadido demostrable a las organizaciones, ya que proporcionan un marco basado en el riesgo para la mejora continua. Es un gran ejemplo de que los riesgos son una oportunidad.
Las normas ISO ayudan a las organizaciones de diversas fomas. En primer lugar, está el coste asociado a la oportunidad de no abordar algo que no funciona bien, o, al revés, el coste del fracaso. He aquí un ejemplo: un sistema informático que funciona, pero es antiguo, estable y no falla. Dicho sistema informático es la razón de ser de la organización, por lo que es muy importante. Pero el hardware y el sistema operativo ya no tienen soporte, por lo que hay pocos repuestos disponibles y no se publican parches de seguridad, por lo que es vulnerable. En NQA nos encontramos a menudo con ejemplos de este tipo. Es un riesgo que no se tiene en cuenta, pero el coste del fracaso puede ser muy alto.
En segundo lugar, abordar los riesgos puede generar oportunidades, simplemente cambiando. Pero estas oportunidades sólo se presentan si se gestionan activamente los riesgos. El marco de gestión de riesgos de las normas del sistema de gestión ISO permite a una organización revisar los riesgos en su contexto para mejorar las cosas: se trata de una mejora continua, ya sea para reducir el coste del fracaso o para aprovechar las ventajas del cambio.
Todas las normas de sistemas de gestión ISO se ajustan a una estructura común, conocida como Anexo SL. Esta estructura común facilita a las organizaciones la integración de sus normas. Significa que una organización certificada según varias normas, por ejemplo, de calidad, medioambiente y gestión de la energía, obtendrá los beneficios de varias disciplinas en un único marco de riesgo. Puede obtener más información sobre las normas del Anexo SL aquí.
Tim Pinnell, Director de Seguridad de la Información de NQA, habló recientemente en un seminario web del IIRSM sobre las ventajas de los sistemas de gestión ISO para la gestión de riesgos. Le acompañaron Helen Barge, directora de la consultora Risk Evolves, e Ian McKinney, de AJ Gallagher Corporate Insurance.
Dicho seminario contó con 3 puntos de vista diferentes:
-
Tim, como auditor de sistemas de gestión.
-
Helen, como consultora de la organización que implemento el sistema de gestión.
-
Ian, que intermedia en la contratación de seguros para ambos tipos de organizaciones: las que han implantado sistemas de gestión y las que no lo han hecho.
La conclusión del seminario fue que las organizaciones certificadas con sistemas de gestión son mucho mejores en la gestión del riesgo y sus beneficios incluyen: la eficiencia, el bajo coste del fracaso, el aumento de las oportunidades, la reducción del riesgo en la cadena de suministro y una mayor garantía interna y externa.
Autor - Tim Pinnell, Director de Seguridad de la Información de NQA