SECCIÓN 2B, CAPÍTULO 5

RESPUESTA AL RIESGO

CAPÍTULO 5
RESPUESTA AL RIESGO
5.1 Definiciones
Los conceptos en la figura 41 son frecuentemente utilizados en la gestión de riesgos y en este documento.

Figura 41—Definición de términos de riesgos

Término Definición
Apetito de riesgo El nivel de riesgo, a un nivel amplio, que una entidad está dispuesta a aceptar en pos del logro de su misión.

Tolerancia al riesgo El nivel aceptable de variación que la gerencia está dispuesta a permitir para cualquier riesgo en particular, con la
finalidad de lograr sus objetivos.
Capacidad de riesgo El nivel objetivo de pérdida que una empresa puede tolerar sin arriesgar su viabilidad. Difiere del apetito del riesgo,
el cual es una decisión de la gerencia o del directorio, sobre cuánto riesgo es deseable aceptar.

Estos conceptos son mejor ilustrados en el apéndice B.5.6.

5.2 Flujo y opciones de respuesta al riesgo

El propósito de definir una respuesta al riesgo es alinearla con el apetito de riesgo definido por la empresa. En otras
palabras, una respuesta necesita ser definida de tal manera que todo el futuro riesgo residual posible (riesgo actual con
su respuesta al riesgo definida e implementada) resulte dentro de los límites de tolerancia definidos (usualmente esto
depende del presupuesto disponible). El flujo completo de respuesta al riesgo es mostrado en la figura 42. Los procesos
EDM03 y APO12 de COBIT 5 incluyen una guía en relación a estas actividades, específicamente, en las prácticas
EDM03.02 y APO12.02.

Esta evaluación de respuesta al riesgo no es un esfuerzo de una sola vez, sino que es parte del ciclo del proceso de
gestión de riesgos. Cuando el análisis de riesgos de todos los escenarios de riesgo identificados, después de comparar el
riesgo contra el retorno potencial, muestra que el riesgo no está alineado con el apetito de riesgo o los niveles de
tolerancia definidos, se requiere una respuesta. Esta puede ser cualquiera de las cuatro posibles respuestas explicadas en
las secciones subsiguientes.

Evitar el riesgo
Significa dejar de hacer las actividades o salir de las condiciones que permiten que el riesgo se presente. Evitar el riesgo
sólo aplica cuando ninguna otra respuesta al riesgo es adecuada. Este es el caso cuando:
• No existe ninguna otra respuesta efectiva en costo que pueda ser exitosa para disminuir la frecuencia o el
impacto debajo de los umbrales definidos para el apetito de riesgo.
• El riesgo no puede ser compartido o transferido.
• El nivel de exposición ha sido considerado inaceptable por la gerencia.

Algunos ejemplos relacionados a TI sobre evitar el riesgo son:

• Reubicar un centro de datos lejos de una región con amenazas naturales significativas.
• Declinar involucrarse en un proyecto grande cuando el caso de negocio muestra un notable riesgo de falla.
• Declinar involucrarse en un proyecto que se construirá sobre sistemas obsoletos y complejos porque no existe un
grado aceptable de confianza sobre el éxito del proyecto.
• Decidir no usar una determinada tecnología o paquete de software porque impedirán el crecimiento futuro del
negocio.

85
 PARA RIESGOS

Nivel de riesgo vigente

Aceptar el riesgo
Aceptar significa que se reconoce la exposición a la pérdida pero no se toman acciones relativas a un riesgo en
particular y la pérdida es aceptada, en caso ocurra. Esto es diferente a no estar consciente de un riesgo. Aceptar un
riesgo supone que se conoce el riesgo y que la gerencia ha tomado una decisión informada para aceptarlo como tal
(p.ej., cuando un costo de remediación excede el riesgo).

Si una empresa adopta una postura de aceptación del riesgo, debe considerar cuidadosamente quién puede aceptar el
riesgo, incluso más con los riesgos relacionados con TI. El riesgo de TI debe ser aceptado solo por la gerencia del
negocio (y los propietarios de los procesos de negocios), con la colaboración y el soporte de TI. La aceptación debe ser
comunicada y documentada a la alta gerencia y al directorio (ver EDM3.02, actividades 5.3 y 5.4). Las empresas
deberían también considerar niveles autorizados de aceptación del riesgo, estableciendo responsables de la empresa que
están autorizados para aceptar diferentes niveles de riesgo, lo que ayudará a asegurar que el riesgo sea aceptado en un
nivel adecuado dentro de la empresa.

Algunos ejemplos de aceptación de riesgos son:

• Pueden haber riesgos que un proyecto de desarrollo no entregue las funcionalidades de negocio requeridas en la
fecha planificada. La gerencia puede decidir aceptar el riesgo y proseguir con el proyecto.
• Si un riesgo en particular es evaluado como extremadamente raro, pero con un impacto muy alto (catastrófico) y
cualquier costo de mitigarlo es prohibitivo, la gerencia puede decidir aceptarlo.

Contratar seguros también es una manera de aceptar el riesgo, aunque esto sólo mitigue la magnitud de la pérdida y no
disminuya la frecuencia esperada.

86
 SECCIÓN 2B, CAPÍTULO 5
RESPUESTA AL RIESGO

Compartir/Transferir el riesgo
Compartir significa reducir la frecuencia o el impacto del riesgo transfiriendo o compartiendo una porción del riesgo.
Las técnicas comunes incluyen la contratación de seguros y la externalización.

Algunos ejemplos incluyen adquirir cobertura de seguros para incidentes relacionados con TI, externalizar algunas
actividades de TI, compartir riesgos de proyectos de TI con el proveedor a través de acuerdos de precios fijos o
acuerdos de inversión compartida. Tanto a nivel físico como a nivel legal, éstas técnicas no liberan a la empresa de la
propiedad del riesgo, pero pueden involucrar las habilidades y competencias de terceros en la gestión de riesgos para
reducir las consecuencias financieras si ocurrieran eventos adversos. Así mismo, desde el punto de vista de la
reputación, compartir o transferir riesgos no traslada la propiedad ni la responsabilidad sobre los mismos.

Algunos ejemplos de compartir o transferir riesgos relacionados con TI son:

• Una empresa de gran tamaño identificó y evaluó el riesgo de incendio en su infraestructura a través de diversas
regiones geográficas, evaluando el costo de compartir el impacto del riesgo a través de una cobertura de seguros.
Se concluyó que debido a la ubicación de los sitios, el costo del seguro y de los deducibles relacionados no era
prohibitivo, de tal forma que se optó por contratar la cobertura del seguro.
• En una gran inversión relacionada con TI, el riesgo del proyecto puede ser compartido externalizando el
desarrollo de la solución a un proveedor por un precio fijo, basado en un esquema de bonificaciones.
• Algunas empresas externalizan todas o algunas de las funciones de TI, compartiendo una fracción del riesgo de
manera contractual.
• Cuando se externaliza el servicio de hosting de aplicaciones, la empresa siempre conserva la responsabilidad de
proteger la privacidad de los datos del cliente, pero si el proveedor es negligente y ocurre una brecha de
seguridad, el riesgo (impacto financiero) puede por lo menos ser compartido con la empresa que brinda el
hosting.

Otras técnicas que contribuyen a compartir el riesgo incluyen:

• Empresas grandes con muchas entidades legales, donde los riesgos de TI pueden ser transferidos a otras
divisiones dentro de la empresa (los reaseguros son un ejemplo común).
• La certificación SSAE16, que permite a una organización que brinda servicios, transfiera una fracción del riesgo
al cliente, a través de la sección “Consideraciones del Cliente” del reporte SSAE16.

Mitigar el riesgo
Significa tomar acciones de mitigación para reducir la frecuencia y/o el impacto de un riesgo. Las maneras más
comunes de mitigar un riesgo incluyen:
• Reforzar las prácticas de gestión de riesgos de TI, p.ej., implementar procesos de gestión de riesgos de TI lo
suficientemente maduros, como se define en el marco COBIT 5.
• Introducir medidas de control orientadas a reducir la frecuencia de ocurrencia de un evento adverso y/o el
impacto de un evento en el negocio. Los controles son, en el contexto de la gestión de riesgos, empleados para
mitigar un riesgo, p.ej., las políticas, procedimientos y prácticas, estructuras, flujos de información, etc. El
conjunto de catalizadores interconectados de COBIT 5 ofrece un conjunto comprehensivo de controles que
pueden ser implementados. Es posible identificar, para cualquier escenario de riesgo que excediera el apetito de
riesgo, un conjunto de catalizadores de COBIT 5 (procesos, estructuras organizativas, comportamientos, etc.)
que puedan mitigar dicho escenario de riesgo. El apéndice D incluye una lista detallada de controles (expresados
como catalizadores COBIT 5) que puedan mitigar riesgos (ver la lista de ejemplos de escenarios genéricos de
riesgos definidos en el capítulo 3).
• La mitigación de riesgos también es posible por otros medios o métodos, es decir, existen estándares y marcos de
referencia de TI bastante conocidos que pueden ser de ayuda.

5.3 Selección y priorización de la respuesta al riesgo

La sección previa discute sobre las opciones disponibles de respuesta al riesgo. En esta sección, se trata la selección de
una respuesta apropiada, es decir, dado un riesgo en particular, se discute cómo responder y cómo escoger entre las
opciones disponibles de respuesta. Como se ilustra en la figura 43, en este proceso se deben considerar los siguientes
parámetros:
• Eficiencia de la respuesta, es decir, los beneficios relativos esperados de la respuesta en comparación con:
– Otras inversiones (invertir en medidas de respuesta al riesgo siempre compite con otras inversiones).
– Otras respuestas (una respuesta puede resolver varios riesgos mientras que otra no).
Esto también considera el costo de una respuesta, p.ej., en el caso de una transferencia de riesgos, el costo de una

87
 PARA RIESGOS

cobertura de seguros premium; en el caso de una mitigación de riesgos, el costo de implementar medidas de
control (gastos de capital, salarios, consultorías, etc.)
• Exposición, es decir, la importancia del riesgo que aborda la respuesta, representado por su posición en el mapa
de riesgos (que refleja los niveles combinados de frecuencia e impacto).
• La capacidad de la empresa para implementar la respuesta. Cuando la empresa es madura en sus procesos de
gestión de riesgos, se pueden implementar respuestas al riesgo más sofisticadas; si no es tan madura, es mejor
empezar con respuestas básicas al riesgo.
• Efectividad de la respuesta, es decir, la medida en que la respuesta reducirá el impacto y la magnitud del riesgo.

Ni
vel
de
rie
sg
o
vig
en
te
Ratio Costo/Beneficio

El esfuerzo agregado requerido para las respuestas de mitigación, es decir, el grupo de controles que se necesitan
implementar o reforzar, pueden exceder los recursos disponibles. Siempre que no haya una urgencia requerida, se
necesita preparar un caso de negocios priorizado para las inversiones. Utilizando el mismo criterio de la selección de la
respuesta al riesgo, las respuestas al riesgo pueden ser establecidas en un cuadrante que ofrece tres posibles
prioridades, como se muestra en la figura 43.
• Prioridad alta: Respuestas muy efectivas y eficientes en costos para los riesgos altos.
• Prioridad normal: Tanto las respuestas más costosas o difíciles para los riesgos altos, como las respuestas
efectivas y eficientes para los riesgos menores, requieren un análisis cuidadoso y decisión de la gerencia sobre
las inversiones.
• Prioridad baja: Las respuestas para los riesgos bajos pueden resultar costosas y pueden no demostrar un buen
ratio de costo/beneficio.

Algunos ejemplos de priorización incluyen:

• Se identificó un riesgo en la arquitectura de TI de una empresa, que, debido a su complejidad, dentro de unos
pocos años se tornará difícil y el mantenimiento del software será muy costoso. La respuesta identificada fue el

88
 SECCIÓN 2B, CAPÍTULO 5
RESPUESTA AL RIESGO

fortalecimiento del proceso APO03 Gestionar la arquitectura de la empresa de COBIT, así como empezar un
proyecto grande para optimizar la arquitectura completa. Dados los costos del proyecto, esta respuesta está
categorizada como “normal”.
• Se identificó un riesgo de incumplimiento con regulaciones dado que no se cuenta con algunos procedimientos
relativamente simples de TI. La respuesta consistió en crear e implementar los procedimientos de TI faltantes.
Esto fue clasificado como “alto”.

5.4 Guía en la selección y priorización de respuesta al riesgo

Las estructuras organizativas en COBIT 5 para Riesgos incluyen cuadros de roles y responsabilidades (RACI por sus
siglas en inglés) para todas las actividades del proceso de gestión de riesgos de TI, incluyendo la definición y
priorización de la respuesta al riesgo. Las principales partes interesadas deben involucrarse en estas decisiones: la alta
gerencia, la gerencia del negocio, la gerencia de riesgos y la gerencia de TI.

Basado en los resultados del análisis de riesgos y en la experiencia ganada durante la definición y priorización de la
respuesta al riesgo, la empresa también puede decidir sobre cambios más fundamentales en su posición contra el riesgo,
por ejemplo:
• Revisar los umbrales de apetito de riesgo o, temporalmente, incrementar o disminuir los niveles de apetito de
riesgo.
• Incrementar (o disminuir) los recursos disponibles para ejecutar la respuesta al riesgo.
• Aceptar riesgos que normalmente excederían los umbrales de apetito de riesgo.

En la evaluación y diseño de la respuesta al riesgo, las empresas siempre deberían procurar un conjunto balanceado de
respuestas, es decir, una combinación de concientización/capacitación, proceso/gobierno y automatización.

89