¿Qué es un proceso de gestión de riesgos y por qué es necesario?

El riesgo representa cualquier tipo de incertidumbre que puede mejorar o reducir la capacidad de alcanzar sus objetivos. Puede adoptar muchas formas, incluidos los riesgos que afectan a los proyectos, las finanzas, la seguridad y la privacidad, y el medio ambiente. Tanto para los riesgos positivos (oportunidades) como para los negativos, necesita un enfoque intencional para comprender el equilibrio entre riesgo y recompensa. Este artículo se centra en el proceso de gestión de riesgos que podrían tener un impacto negativo en su organización; procesos similares se aplican para determinar cómo explotar la incertidumbre beneficiosa, es decir, el riesgo positivo.

La historia reciente ha puesto de relieve el impacto que los factores de riesgo pueden tener en la forma en que operan las empresas y las personas, y en si pueden continuar haciéndolo. La capacidad de navegar el riesgo mejor que la competencia sin duda contribuirá al éxito de la empresa. No hacerlo podría significar un desastre, tal vez más allá de la recuperación.

Por estas razones, es importante aplicar un proceso de gestión de riesgos comprobado y consistente. Cuando se construye sobre una base sólida de comprensión de las metas, los objetivos y el contexto interno/externo de la organización, un proceso de gestión de riesgos ayudará a garantizar el éxito de su organización.

¿Cuáles son los 5 pasos del proceso de gestión de riesgos?

Muchos cuerpos de conocimiento han documentado la gestión de riesgos, pero quizás el más conocido es el de la Organización Internacional de Normalización (ISO). La norma ISO 31000, Risk management Guidelines Guidelines, incluye amplia información sobre cómo comunicar, gestionar y supervisar diversos riesgos. El proceso es esencialmente el mismo para cualquier tipo de entidad y comprende los siguientes cinco pasos:

1. Identifique los riesgos.
2. Analizar la probabilidad y el impacto de cada uno.
3. Priorice el riesgo en función de los objetivos empresariales.
4. Tratar (o responder a) las afecciones de riesgo.
5. Supervise los resultados y utilícelos para ajustarlos, según sea necesario.

Si bien estos pasos son sencillos, cada empresa tiene factores únicos que afectan la forma en que debe gestionar y supervisar el riesgo. Para determinar y aplicar esos factores, es útil aplicar un marco de gestión de riesgos como parte de un enfoque integral de planificación, ejecución y seguimiento de la gestión general de los diversos riesgos.

También es importante tener en cuenta que el objetivo del proceso de gestión de riesgos, en el contexto de un marco amplio, no es eliminar por completo todos los riesgos, sino determinar niveles de riesgo aceptables, dados sus objetivos, y luego trabajar para mantener esos factores de riesgo dentro de los límites acordados. Los pasos a continuación le ayudarán a determinar y aplicar acciones específicas para hacerlo.

Identificar riesgos

El primer paso es determinar los riesgos potenciales por sí mismos. Eso requiere un poco de contexto: Para considerar lo que podría salir mal, uno necesita comenzar con lo que debe salir bien.

Comience el proceso con una revisión de sus metas y objetivos y los diversos recursos o activos que los habilitan. Los profesionales del riesgo a menudo aplican un enfoque de arriba hacia abajo y de abajo hacia arriba para pensar en lo que podría impedir esos objetivos.

La parte descendente considera programas de misión crítica que no deben verse perjudicados (como las transacciones de ventas en una tienda minorista o los procesos de fabricación en una fábrica); a continuación, enumera las condiciones que podrían perjudicar a esos programas.

Para la parte ascendente, se pueden considerar varias fuentes de amenazas conocidas (como terremotos, ataques de ransomware o crisis económicas) y reflexionar sobre el impacto que podrían tener en la empresa.

Dado que el riesgo es, por definición, cualquier incertidumbre que afecte a los objetivos, un riesgo es solo un riesgo si tiene impacto. Cuanto más impactante sea un riesgo, mayor será la prioridad. El análisis de esa prioridad se realizará en el siguiente paso, pero primero hay que considerar los diversos factores de riesgo para crear un escenario que pueda medirse.

El Informe Interinstitucional del NIST (NISTIR) 8286A, «Identificación y Estimación del Riesgo de Ciberseguridad para la Gestión del Riesgo Empresarial (ERM)», proporciona orientación sobre el desarrollo de escenarios de riesgo. Según el informe, los siguientes cuatro elementos son necesarios para describir un riesgo negativo (véase la figura 2):

1. un activo o recurso valioso que se vería afectado;
2. una fuente de una acción amenazadora que actuaría contra ese activo;
3. una condición preexistente (o vulnerabilidad) que permite que esa fuente de amenaza actúe; y
4. algún impacto perjudicial que se produzca cuando la fuente de amenaza explote esa vulnerabilidad.

Con estos bloques de construcción, se puede componer un amplio conjunto de escenarios de riesgo para ser analizados, clasificados y tratados. Describir el riesgo como un escenario ayuda a comunicar las condiciones de riesgo y analizar la probabilidad y el impacto del riesgo. También hace que sea más fácil considerar cómo responder. Un escenario de ejemplo podría ser: «La planta de fabricación se ve afectada por un corte de energía como resultado de una tormenta tropical, que interrumpe las operaciones de la planta durante varios días.»

Aunque la retrospectiva nunca es perfecta, proporciona información útil sobre qué eventos de riesgo podrían ocurrir en el futuro. En particular, puede ser útil revisar los titulares sobre los riesgos a los que se han enfrentado empresas similares, las condiciones que los habilitaron y cómo los riesgos afectaron a las organizaciones.

Categorías de riesgo

Al considerar varios tipos de riesgo, puede ser útil organizarlos en categorías. Esa categorización permite que cada tipo de riesgo sea considerado y rastreado por personas o equipos que están familiarizados con temas particulares. Por ejemplo, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway, una iniciativa conjunta de organizaciones profesionales que proporciona orientación para la gestión de riesgos, ha sugerido que el riesgo se puede organizar en las cuatro áreas siguientes:

• riesgo estratégico (p. ej., reputación, relaciones con los clientes, innovación técnica);
• riesgo financiero y de informes (p. ej., mercado, impuestos, crédito);
• riesgo de cumplimiento y gobernanza (p. ej., ética, regulación, comercio internacional, privacidad); y
• riesgo operativo (p. ej., seguridad y privacidad de la información y la tecnología, cadena de suministro, problemas laborales, desastres naturales).

Las categorías de riesgos también ayudan a integrar la información a medida que los gerentes se comunican, hacen un seguimiento y ajustan la respuesta al riesgo. Para cada categoría de riesgo, un proceso intencional para elaborar los escenarios garantizará que la lista sea suficientemente completa. Hay muchas herramientas disponibles para ayudar a visualizar y evaluar los escenarios. Los ejemplos incluyen los siguientes:

• estructuras de desglose de riesgos para los riesgos del proyecto (p. ej., «Use una estructura de desglose de riesgos (RBS) para comprender sus riesgos»);
• árboles de amenazas para el riesgo de ciberseguridad (por ejemplo, la metodología OCTAVE Allegro de Carnegie Mellon); y
• ejercicios Delphi para considerar el riesgo de inversión.

El componente final de este primer paso, la identificación de riesgos, es registrar los hallazgos en un registro de riesgos. El registro de riesgos proporciona un medio de comunicación y seguimiento de los diversos riesgos a lo largo de las etapas posteriores. El informe NISTIR 8286 citado anteriormente proporciona un ejemplo de dicho registro, junto con una plantilla de muestra de detalle de riesgos en la que se registran muchos de los resultados de los pasos del proceso de gestión de riesgos.

Analizar la probabilidad y el impacto del riesgo

Como se señaló anteriormente, un riesgo es solo un riesgo si tiene impacto, por lo que el segundo paso del proceso de gestión del riesgo es analizar la probabilidad de que se produzca un riesgo y de que tenga un impacto mensurable.

Hay toda una ciencia para el análisis de riesgo, pero esencialmente este paso es un cálculo de la probabilidad de que ocurra un evento de riesgo y una estimación del impacto de las consecuencias si eso sucedió. Si bien a menudo hay un impacto inmediato, también puede haber otras consecuencias posteriores, por lo que es importante considerar cada uno de estos factores en los cálculos. Considere la pérdida de una computadora portátil que contiene los registros de salud de los pacientes: habrá una pérdida inmediata de la propiedad, pero la pérdida de esa información del paciente podría resultar en multas, demandas y daños a la reputación que exceden con creces el costo del dispositivo perdido.

El análisis de riesgo debe incluir factores de tiempo como parte del cálculo. Los sistemas de información financiera a menudo se consideran críticos, pero durante el tiempo de preparación de impuestos, sus necesidades de integridad y disponibilidad pueden ser particularmente importantes. La frecuencia de los eventos de riesgo es otro factor basado en el tiempo a considerar.

Muchas organizaciones utilizan términos generales o cualitativos para expresar esos valores. Por ejemplo, a menudo usamos términos como» alto riesgo «o» baja probabilidad » para comunicar el riesgo, o tal vez usamos esquemas de color rojo, amarillo y verde. Las organizaciones pueden beneficiarse de un enfoque cuantitativo más científico y específico para el análisis de riesgos. Por ejemplo, el enfoque de Análisis Factorial de Riesgo de Información (FAIR), instanciado en el estándar OpenFAIR del Grupo Abierto, se puede usar para realizar cálculos de riesgo detallados que pueden ser más útiles que los colores para estimar.

Existen docenas de métodos para realizar análisis de riesgos cualitativos y cuantitativos, muchos de los cuales se describen en la norma ISO/IEC (Comisión Electrotécnica Internacional) 31010, «Gestión de riesgos techniques Técnicas de evaluación de riesgos.»Esa publicación señala que las técnicas» se utilizan dentro de los pasos de evaluación de riesgos para identificar, analizar y evaluar el riesgo como se describe en la norma ISO 31000, y de manera más general siempre que sea necesario comprender la incertidumbre y sus efectos.»

Priorizar en función de los objetivos empresariales

Los resultados del análisis de riesgos permiten clasificar y clasificar los riesgos en función de su importancia. Dado que es probable que los recursos sean limitados, la priorización ayuda a resaltar los riesgos que serán más probables y de mayor impacto. Reflejar estos resultados en un mapa de riesgos ayuda a visualizar la importancia relativa de cada riesgo y también puede ser útil para compartir observaciones de riesgos con otros interesados, en particular aquellos que pueden proporcionar (o autorizar) recursos para responder a esos riesgos.

Si bien la priorización inicial de los riesgos puede basarse en la combinación de probabilidad e impacto, la clasificación final puede estar influenciada por factores que son importantes para esas partes interesadas. Por ejemplo, si el liderazgo ha expresado que la confianza del cliente es un valor clave para la empresa, se podrían destacar los riesgos que podrían afectar a los clientes.

Trate los riesgos de una manera rentable

Con una lista de riesgos priorizada, el siguiente paso es evaluar las opciones disponibles para tratar esos riesgos y aplicar varios métodos y controles para lograr un nivel de riesgo aceptable. Hay varias opciones disponibles para hacerlo, incluidas las siguientes:

• Si el riesgo, basado en el apetito de riesgo del liderazgo, ya está en un nivel aceptable, no es necesario ningún tratamiento adicional.
• Si es posible compartir parte del impacto con otra entidad (p. ej., una empresa de seguros, un proveedor de servicios externo), entonces parte del riesgo puede transferirse de esa manera.
• Cuando sea práctico, se podrán aplicar diversos controles de riesgos administrativos, técnicos y de gestión que ayudarán a reducir la probabilidad o el impacto de cada riesgo a un nivel aceptable.
• Si no se puede aplicar ninguno de estos métodos de respuesta al riesgo, los gestores de riesgos deben evitar el riesgo eliminando las actividades o exposiciones que permitirían considerar el escenario.

Es importante asegurarse de que los métodos aplicados sean efectivos y rentables. Este enfoque explica por qué un banco podría usar una cadena de 20 centavos para proteger una pluma de tinta y una bóveda de un millón de dólares para proteger sus reservas de efectivo. Los recursos necesarios para hacer frente al riesgo deben ser proporcionales a los bienes protegidos.

Monitorear los resultados de la gestión de riesgos

Incluso después de cada uno de los pasos anteriores, es importante que los resultados se rastreen y monitoreen para garantizar que los riesgos permanezcan dentro de los límites establecidos por los líderes de la organización. Las condiciones de riesgo pueden cambiar rápidamente, los valores de los activos pueden fluctuar y las preferencias de las partes interesadas pueden cambiar. Una parte fundamental de la supervisión es garantizar que los administradores y los directivos superiores estén informados sobre el progreso hacia los objetivos de riesgo y los cambios que podrían tener un impacto en la organización. El ciclo es similar al ciclo PDSA (Plan-Hacer-Estudiar-Actuar) popularizado por el Dr. W. Edwards Deming, lo que permite la mejora continua del proceso de gestión de riesgos. A medida que varios equipos de toda la organización toman medidas para identificar, analizar y responder al riesgo, los resultados informan y refinan la siguiente iteración.

Conclusión

A través de la aplicación de estos pasos, en el contexto de un marco más amplio de gobernanza y gestión, las organizaciones pueden identificar de manera consistente los riesgos que probablemente tengan un impacto perjudicial, luego priorizar el tratamiento rentable y monitorear los resultados para mantener la mejora continua.