Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Introducción a la norma de gestión de riesgos ISO 31000

Como ha subrayado la reciente crisis financiera mundial, la gestión de riesgos no es una ciencia exacta. La gestión de riesgos puede ser especialmente ineficaz cuando se equipara con el cumplimiento. Las organizaciones pueden cumplir con las regulaciones que rigen sus industrias y aún así incurrir en riesgos que tienen un impacto negativo en sus negocios y más allá. Incluso en organizaciones sofisticadas, la gestión de riesgos a menudo se practica en «silos» y sin una comprensión clara de cómo los niveles de riesgo a los que se adhiere una parte de la empresa pueden resultar perjudiciales para la organización en su conjunto.

Estas preguntas frecuentes proporcionan una introducción a ISO 31000: 2009, un nuevo estándar internacional destinado a ayudar a las organizaciones de todos los tipos y tamaños a gestionar el riesgo en toda la empresa.
La norma de gestión de riesgos ISO 31000: 2009 fue publicada en noviembre de 2009 por la Organización Internacional de Normalización (ISO). Con una extensión concisa de 24 páginas, la norma ISO 31000: 2009 es digna de mención, no solo por su brevedad, sino también por su énfasis en los fundamentos de la gestión de riesgos empresariales.

¿Qué es la ISO?

La Organización Internacional de Normalización (ISO) se formó en 1947 y está formada por representantes de los organismos nacionales de normalización de 161 países. Con más de 18.000 estándares internacionales en su cartera, la organización afirma ser el desarrollador de estándares más grande del mundo. ISO es una organización no gubernamental con sede en Ginebra. Como tal, sus normas son voluntarias, pero muchos de sus institutos miembros forman parte de las estructuras gubernamentales de sus países, y las normas ISO se han introducido en muchas leyes. Los profesionales de tecnología de la información probablemente estén familiarizados con la serie de normas ISO / IEC 27000 para la gestión de la seguridad de TI.

Obtenga más información sobre la historia de ISO.

¿Qué es ISO 31000?

ISO 31000 es una norma internacional desarrollada para ayudar a las organizaciones de cualquier tamaño y tipo a gestionar el riesgo de forma eficaz. Considerada como un documento práctico para ayudar a las organizaciones a desarrollar su propio enfoque del riesgo, ISO 31000 proporciona los principios, el marco y el proceso genérico para gestionar cualquier tipo de riesgo de una manera transparente y sistemática. La ISO 31000 se puede aplicar «a cualquier empresa, asociación, grupo o individuo público, privado o comunitario».

CONTENIDO RELACIONADO  Tácticas de integración para facilitar los entornos híbridos de múltiples nubes

¿Cómo puede mi organización obtener una copia?

Las normas ISO no son gratuitas. Se pueden comprar copias de ISO 31000: 2009, Gestión de riesgos: principios y directrices y de la Guía ISO 73: 2009, Vocabulario de gestión de riesgos, una colección de términos y definiciones relacionados con la gestión de riesgos, en la Secretaría Central de ISO por 112 francos suizos ( alrededor de $ 100) y 86 francos suizos (alrededor de $ 75) respectivamente, oa través de ISO Store. Los informes también están disponibles en los institutos nacionales miembros de ISO.

¿Cómo define ISO 31000 el riesgo?

Aunque el riesgo a menudo se define en términos de impacto negativo o peligro, ISO 31000 considera el riesgo como una exposición a las consecuencias de la incertidumbre, ya sea positiva o negativa. La gestión de riesgos consiste en identificar las variaciones de lo planificado o deseado, y gestionar esos riesgos para maximizar las oportunidades, minimizar las pérdidas y mejorar las decisiones y los resultados.

¿Qué está diseñado para ayudar a las organizaciones a hacer ISO 31000?

  1. Incrementar la probabilidad de lograr los objetivos.
  2. Fomentar la gestión proactiva.
  3. Sea consciente de la necesidad de identificar y tratar el riesgo en toda la organización.
  4. Mejorar la identificación de oportunidades y amenazas.
  5. Cumplir con los requisitos legales y reglamentarios relevantes y las normas internacionales.
  6. Mejorar los informes financieros.
  7. Mejorar la gobernanza.
  8. Mejorar la confianza de las partes interesadas.
  9. Establezca una base confiable para la toma de decisiones y la planificación.
  10. Mejora los controles.
  11. Asignar y utilizar de manera eficaz los recursos para el tratamiento de riesgos.
  12. Mejorar la eficacia y la eficiencia operativa.
  13. Mejorar el desempeño en materia de salud y seguridad, así como la protección del medio ambiente.
  14. Mejorar la prevención de pérdidas y la gestión de incidentes.
  15. Minimiza las pérdidas.
  16. Mejorar el aprendizaje organizacional.
  17. Mejorar la resiliencia organizacional.
CONTENIDO RELACIONADO  5 pasos para proteger las implementaciones de IoT

¿Cuáles son los principios fundamentales de una buena gestión de riesgos?

  • La gestión de riesgos debe agregar valor a una organización.
  • La gestión de riesgos debe vincularse con el gobierno corporativo.
  • La responsabilidad de la gestión de riesgos debe vincularse a la dirección estratégica.
  • La gestión de riesgos debe estar integrada en los objetivos, la estrategia, las prácticas operativas y la cultura interna de una organización.
  • La gestión de riesgos es un catalizador del cambio en la cultura de la organización.
  • La gestión de riesgos es dinámica, no estática. Cuando cambian los objetivos, cambia la gestión de riesgos.
  • La gestión de riesgos es sistemática, coherente y proporcional.
  • La gestión de riesgos es específica.
  • La gestión de riesgos se basa en evidencias.
  • La gestión de riesgos es transparente e inclusiva.

¿Cuáles son los elementos principales del proceso de gestión de riesgos de ISO 31000?

  • Comunicarse y consultar.
  • Establece el contexto.
  • Identifica el riesgo.
  • Analice el riesgo.
  • Evaluar el riesgo.
  • Trate el riesgo.
  • Supervisar y revisar.

¿Quién en una empresa debería obtener estos documentos?

ISO 31000 debe ser visto por:

  • Cualquier persona responsable de implementar la gestión de riesgos dentro de una organización.
  • Personas que necesitan asegurarse de que la organización gestiona el riesgo.
  • Personas que necesitan evaluar las prácticas de una organización en la gestión de riesgos.
  • Desarrolladores de estándares, guías, procedimientos y códigos de práctica relacionados con la gestión de riesgos.

¿Cómo se relaciona ISO 31000 con riesgos específicos?

La ISO 31000 no debe verse como un reemplazo de las normas internacionales establecidas que se utilizan con éxito para gestionar riesgos específicos en sectores como la seguridad de la maquinaria, el transporte, la energía, las tecnologías de la información y el medio ambiente. Más bien, debe considerarse como un documento de alto nivel que apoya esos estándares existentes.

CONTENIDO RELACIONADO  Cómo los gerentes de OT pueden mejorar su promedio de bateo

¿Puede mi empresa obtener la certificación ISO 31000?

ISO 31000 no es un estándar en el que las organizaciones puedan buscar la certificación. Al implementar ISO 31000, las organizaciones pueden comparar sus prácticas de gestión de riesgos con un punto de referencia reconocido internacionalmente que proporciona principios sólidos para una gestión eficaz. La Guía ISO 73 garantiza que todos utilicen los mismos términos y definiciones cuando se habla de riesgo.

¿De qué manera se queda corta la norma ISO 31000?

La ISO 31000 fue elogiada en las primeras revisiones como una guía clara, relativamente concisa y de alto nivel para la gestión de riesgos. Sin embargo, el valor de ISO 31000 es menos obvio para las organizaciones que conocen los conceptos de riesgo y buscan detalles sobre cómo traducir conceptos en herramientas prácticas. Como se anuncia, ISO 31000 es un estándar orientado a procesos, a diferencia de un estándar orientado a controles, como COSO Enterprise Risk Management – Integrated Framework.

El analista de Forrester Research Inc., Christopher McClean, advirtió en un informe que ISO 31000, por ejemplo:

  • No determina cómo una organización mide el riesgo: los administradores de riesgos aún tendrán que descubrir cómo crear datos de riesgo confiables.
  • No garantiza que se identifiquen todas las áreas de riesgo pertinentes.
  • No proporciona taxonomías de riesgo, «mapas de calor» u otras plantillas para desarrollar documentación e informes de riesgo.

Obtenga más información sobre la reacción de los expertos y las primeras revisiones de la norma de gestión de riesgos ISO 31000.

Háganos saber lo que piensa sobre la historia; envíe un correo electrónico a Linda Tucci, redactora principal de noticias.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

La integración de OpenText-Salesforce gana impulso

Australia es el hogar de muchos animales mortales, dijo Sean Potter, consultor senior de seguros grupales en MLC Australia, y debería saberlo. Trafica datos de seguros de vida, lo que ayuda a conectar el contenido

¿Qué es el cifrado de disco duro?

El cifrado del disco duro es una tecnología que cifra los datos almacenados en un disco duro mediante sofisticadas funciones matemáticas. Los datos de un disco duro cifrado no pueden ser leídos por nadie que

Cuidado con ‘The Walking Dead’ de IoT

Quienes siguen mis artículos saben que me gusta hacer comparaciones entre Internet de las cosas y programas de televisión y películas. Para este artículo, he seleccionado el famoso programa Los muertos vivientes. Al preparar este

¿Qué es Microsoft Windows Update?

Microsoft Windows Update es una herramienta de seguridad gratuita para clientes que, una vez activada, busca e instala actualizaciones automáticamente. Microsoft recomienda utilizar la función de actualización automática en Windows Update. Si esto no es

Gestión de retención de clientes

Gestión de las relaciones con los clientes, segunda edición, capítulo 9, Gestión del ciclo de vida del cliente: retención de clientes … y desarrollo La mayoría de los expertos estarán de acuerdo en que retener

Qué esperar en la plataforma Infusionsoft CRM

Infusionsoft es una plataforma de gestión de relaciones con el cliente (CRM) que se utiliza para gestionar las facetas de ventas, marketing y soporte al cliente de las estrategias de participación B2B y B2C. Proporciona

El auge del control por voz en Internet de las cosas

La integración de la voz en los dispositivos de IoT crea una nueva experiencia de usuario que muchos consumidores disfrutan. A partir de este año, el 20% de los adultos estadounidenses tienen altavoces inteligentes, lo

Samsung Chromebook Pro se destaca del paquete

El diseño premium del Chromebook Pro, la calidad de construcción y la compatibilidad con el lápiz óptico Samsung S Pen lo separan de las docenas de Chromebooks de bajo costo en el mercado. También es

Comprar, administrar y ejecutar un sistema

Nota del editor Ejecutar una plataforma de CRM exitosa requiere liderazgo y visión en todas las etapas, desde la compra hasta la implementación y la gestión de los procesos comerciales en curso. Si bien los

Resumen de Re: Invent: semana 2

AWS re: Invent 2020 es un maratón, no un sprint. En el pasado, el formato de una semana de la conferencia anual de usuarios de AWS a menudo se sentía abrumador y abrumador. Pero el

¿Qué es Cloud Controls Matrix?

Cloud Controls Matrix (CCM) es un conjunto básico de controles de seguridad creado por Cloud Security Alliance para ayudar a las empresas a evaluar el riesgo asociado con un proveedor de computación en la nube.

¿Qué es AltaVista? – Definición de Krypton Solid

AltaVista es un motor de búsqueda popular en la Web. Además de las búsquedas de texto completo, AltaVista también puede buscar imágenes gráficas y decirle quién está vinculado a sus propias páginas web. El robot

Replicación basada en matriz y basada en red

Lo que aprenderá en este consejo: en la primera parte de nuestra serie sobre técnicas de replicación de datos, aprendió sobre las diferencias entre la replicación asíncrona y la síncrona. En la segunda parte, aprenderá

¿Conoces las diferencias?

Durante mucho tiempo, el debate fue entre máquinas virtuales y contenedores, con fuertes defensores de cada uno, ya que cada tecnología tiene sus propias ventajas y desventajas. Más recientemente, sin embargo, la conversación ha cambiado.

¿Qué es VMware AirWatch Secure Content Locker?

AirWatch Secure Content Locker es la herramienta de colaboración de contenido de VMware dentro de su conjunto de productos MDM (administración de dispositivos móviles). Al igual que otras suites de MDM, AirWatch sirve al área

Barracuda Networks se vuelve privada – Storage Soup

Barracuda Networks se convirtió en el último proveedor de tecnología pública en convertirse en privado cuando la firma de capital Thoma Bravo acordó pagar $ 1.6 mil millones esta semana para adquirir el proveedor de

¿Qué hago cuando no puedo activar Windows?

Por lo general, dos cosas hacen que falle la activación de Windows. Uno es un problema de conectividad, el otro es un problema con … la clave del producto en sí. Si no puede activar

¿Qué es la gestión de riesgos empresariales (ERM)?

La gestión del riesgo empresarial es el proceso de planificación, organización, dirección y control de las actividades de una organización para minimizar los efectos nocivos del riesgo en su capital y ganancias. La gestión de

Redes LPWA: dando forma al futuro de IoT

Las redes inalámbricas de IoT están evolucionando para ayudar a satisfacer las necesidades de una amplia variedad de dispositivos conectados, desde automóviles conectados y hogares inteligentes hasta iluminación e infraestructura inteligentes. Las redes de área

Kafka Streaming recibe un nuevo giro

La puesta en marcha Confluent Inc., observada de cerca, lanzó la semana pasada Confluent Enterprise 3.0, que incluye un sistema de gestión para los clústeres de Apache Kafka. El software está destinado a proporcionar una

¿Cuándo debe TI usar clientes ligeros para VDI?

CenturionStudio.it – ​​Fotolia Los dispositivos de cliente ligero ofrecen numerosas ventajas sobre las PC, como un costo de adquisición más bajo y costos de mantenimiento más bajos, pero los clientes ligeros no son adecuados para

La utilidad Diskpart busca discos recién agregados

Una utilidad particularmente útil para los usuarios de Windows 2000 / XP / Windows Server 2003 es la Utilidad de partición de disco, también conocida como Diskpart, un intérprete de línea de comandos diseñado como

¿Qué es la planificación empresarial integrada (IBP)?

La planificación empresarial integrada (IBP) es una estrategia para conectar las funciones de planificación de cada departamento en una organización para alinear las operaciones y la estrategia con el desempeño financiero de la organización. Una

Deja un comentario