ISO/TS 31050:2023 Gestión de riesgos. Directrices para la gestión de un riesgo emergente con el fin de mejorar la resiliencia
En abril de 2019 se dio comienzo al proyecto “SMART RESILIIENCE Indicators for Smart Critical Infrastructures”; el objetivo del proyecto era difusión y Explotación e informa las actividades realizadas para promover la estandarización de los resultados del proyecto SmartResilience.
El proyecto enfrentó dos opciones principales de estandarización: optar por incorporar los resultados del proyecto en un acuerdo de taller CEN (CWA), limitando su alcance a Europa o proponer un nuevo elemento de trabajo como estándar internacional (ISO). Aprovechando el compromiso previo del coordinador con los comités técnicos de ISO ISO/TC 262 (gestión de riesgos) e ISO/TC 292 (Resiliencia), así como la implicación del consorcio con otros proyectos de la UE, se decidió tomar ambas rutas.
Una opción de estandarización alternativa a explorar era un proceso completo para convertirse en un estándar de la Organización Internacional de Normalización (ISO), generalmente como parte de otra familia de estándares establecida, como la Gestión de Riesgos ISO 31000.
ISO comenzó a desarrollar la nueva norma ISO 31050 “Guía para gestionar riesgos emergentes para mejorar la resiliencia”, con el objetivo de proporcionar la previsión y el conocimiento tan necesarios para hacer frente al panorama de riesgos que cambia rápidamente debido a la gran cantidad de nuevas incertidumbres y nuevos riesgos emergentes cuya gestión es esencial para la sociedad.
La ISO 31050 propuesta formaría parte de la familia de normas ISO 31000:2018, que fue creada, supervisada y complementada por el Comité Técnico de ISO TC262.
ISO 31000 define el riesgo como una incertidumbre que las organizaciones de todos los tipos y tamaños pueden enfrentar cuando se esfuerzan por alcanzar sus objetivos. Establece principios para hacer efectiva la gestión de riesgos y recomienda qué desarrollar e implementar para incorporar la gestión de riesgos en la organización.
Se trata de una directriz genérica, que deja abierto a interpretación el caso particular de riesgo desconocido. En la práctica, si bien todas las organizaciones gestionan el riesgo hasta cierto punto, es probable que se centren en los riesgos conocidos y, al mismo tiempo, descuiden los riesgos desconocidos o “los cisnes negros”, ya que a menudo es imposible conceptualizarlos dentro de los objetivos de la organización, en particular cuando considerando entornos complejos y/o que cambian rápidamente (por ejemplo, nuevas tecnologías).
Con este fin, la ISO 31050 propuesta tiene como objetivo integrar y alinear el marco de riesgo (emergente) (basado en CWA 166499 ) con el marco de resiliencia de #SmartResilience (definiciones, conceptos, requisitos) y proponer resultados tales como un procedimiento para escanear riesgos emergentes, el métricas para evaluar los posibles impactos de esos riesgos en la resiliencia de la infraestructura crítica y más.
Pues bien, hace algunas semanas ISO – International Organization for Standardization ha publicado el nuevo estándar “ISO/TS 31050:2023 GESTIÓN DE RIESGOS. Directrices para la gestión de un riesgo emergente con el fin de mejorar la resiliencia”.
Los riesgos emergentes se caracterizan por su novedad, la insuficiencia de datos y la falta de información verificable y de conocimientos necesarios para la toma de decisiones relacionadas con ellos. Dado que estos riesgos pueden desarrollarse con el potencial de grandes amenazas y oportunidades, se debe establecer una gestión adecuada de los riesgos emergentes como parte de la gestión de riesgos de una organización. Debe incluir cambios en las circunstancias o condiciones relacionadas con múltiples aspectos del contexto externo de la organización y las implicaciones para su contexto interno.
Los riesgos emergentes pueden incluir, por ejemplo:
- ➡ los riesgos derivados de cambios no reconocidos en los contextos organizativos;
- ➡los riesgos creados por la innovación o el desarrollo social y tecnológico;
- ➡ riesgos relacionados con nuevas fuentes de riesgo o fuentes de riesgo previamente no reconocidas;
- ➡ los riesgos derivados de procesos, productos o servicios nuevos o modificados.
Las consecuencias de los riesgos emergentes pueden incluir, por ejemplo:
- ➡ exposición a peligros y amenazas imprevistos con resultados inciertos;
- ➡ mayor exposición a peligros y amenazas procedentes de fuentes de riesgo conocidas;
- ➡ oportunidades perdidas o ganadas.
La gestión del riesgo emergente debe centrarse en el conocimiento y depender de la necesidad de acumular datos e información verificables, especialmente cuando estos son limitados o incoherentes. Con la interpretación, esta información forma conocimiento y crea inteligencia para la toma de decisiones estratégicas, tácticas y operativas.
Se proporciona orientación específica sobre:
- ✔cómo comprender la naturaleza y las características de los riesgos emergentes (véase la cláusula 4);
- ✔cómo se aplican los principios de gestión de riesgos a los riesgos emergentes (véase la cláusula 5);
- ✔ cómo se aplica el proceso de gestión de riesgos de la norma ISO 31000 a los riesgos emergentes (véase la cláusula 6);
- ✔ cómo puede mejorarse la resiliencia mediante la gestión de los riesgos emergentes (véase la cláusula 7);
- ✔ cómo utilizar el ciclo de inteligencia de riesgos para los riesgos emergentes (véase la cláusula 8).
En los anexos A a F figuran más detalles.
La aplicación de este documento ayuda a las organizaciones a beneficiarse de:
- 📌 una mayor concienciación, que reduce la probabilidad de no anticiparse a los riesgos emergentes;
- 📌 el reconocimiento temprano de los riesgos emergentes y el aumento del nivel de preparación y resiliencia;
- 📌 la difusión oportuna de datos y el intercambio de información entre las partes interesadas;
- 📌 Alineación de las acciones sobre los riesgos emergentes en todos los aspectos de los contextos organizacionales.
La estructura de la norma queda como sigue:
En especial, las cláusulas 4-8 nos muestra este contenido: