Documentos de Académico
Documentos de Profesional
Documentos de Cultura
riesgos.
4. Comunicación y consulta
Se busca recopilar información a través de diferentes medios para dar a
conocer lo que cada una de las áreas ha encontrado durante el proceso de
implementación del sistema de gestión de riesgos.
5. Análisis crítico
Se puede definir como la evaluación del sistema de gestión de riesgos que
se está poniendo en marcha. Con esto se busca resaltar los puntos
positivos que ha traído la gestión y mejorar en los aspectos que no están
siendo tan efectivos.
Proceso de implementación
de gestión de riesgos.
• El proceso de tratamiento de
riesgos consiste en seleccionar y aplicar
las medidas más adecuadas, con el fin de
poder modificar el riesgo, para evitar de
este modo los daños intrínsecos al factor
de riesgo, o bien aprovechar las ventajas
que pueda reportarnos.
Estrategias de tratamiento de riesgos
Evitar el riesgo
• La única forma en la que se puede evitar un riesgo es parando o no iniciando la actividad que lo genera. Normalmente,
esta estrategia de tratamiento de riesgos se selecciona cuando el riesgo tiene un impacto negativo muy grande para la
organización. En este caso, una de las opciones es buscar una actividad o tarea alternativa que suponga un riesgo menor.
Estrategias de minimización de riesgos
• Dentro de esta estrategia existen dos enfoques. El primero consiste en modificar la probabilidad o las consecuencias del
riesgo cuando este es inevitable para la empresa y la actividad se debe llevar a cabo. Se puede realizar mediante el uso de
modelos predictivos gracias a las técnicas de “Machine Learning”.
• El segundo enfoque consiste en compartir el riesgo. Normalmente, esta estrategia incluye la compra de seguros o la firma de
contratos. Antes de tomar esta decisión, es importante analizar el coste que tendrá y si es asumible para la organización.
Aceptación y retención de riesgos
• A veces, existen riesgos que pueden asumirse e incluso, aumentarse con la finalidad de encontrar nuevas oportunidades de
negocio. Por ejemplo, cuando un riesgo es muy frecuente, pero no llega a comprometer un objetivo empresarial, se puede aceptar
y controlar, para ver su evolución.
Criterios para aceptar o no un riesgo
• Que sea justificable económicamente.
• Una vez analizadas las combinaciones de tratamiento del riesgo, se
debe determinar cuál es la mejor.
• Se deben considerar los valores, percepciones y potencial de
implicación de las partes interesadas.
• Es necesario que la empresa sea consciente de las consecuencias no
intencionadas que puedan surgir a lo largo del tiempo.
Proceso de implementación de gestión de
riesgos.
7. Monitoreo
Periódicamente se deben hacer revisiones para saber si los planes de
acción que se han implementado en cada uno de los riesgos son los
correctos, esto ayudará a entender si la tarea se está haciendo bien y se
están logrando resultados positivos o si. por el contrario, se debe mejorar
y en algunos casos cambiar porque como hemos dicho, la gestión de
riesgos es un proceso dinámico y se debe retroalimentar de acuerdo a
los cambios que se van presentando tanto externa como internamente.
Definición de componentes del proceso de
gestión de riesgos.
Comunicación y consulta
• Con esto se busca crear incentivos para toda la organización para que
entiendan la necesidad de tomar conciencia frente a los riesgos que se
puedan presentar y que esto es un tema que le compete a todos los
miembros, pues la mayoría de las áreas pueden verse afectadas.
• En cuanto a la consulta, es utilizada como un método para obtener
información que es clave al momento de la toma de decisiones, al
mismo tiempo para ayudar a las partes involucradas a manejar
la gestión del riesgo.
Definición de componentes del proceso de
gestión de riesgos.
Seguimiento y revisión
• Para validar que el riesgo esté bien calificado y que los controles que
están asociados a este sí están ayudando a mitigarlo.
Registro e informe
• Para demostrar cómo ha sido la gestión de riesgo y ver en qué se está
fallando para hacer mejoras.
Interrelación de
componentes del proceso de
gestión de riesgos.
• La administración/gestión de riesgos es
parte de la gobernanza y el liderazgo y es
fundamental en la manera en que se gestiona
la organización en todos sus niveles. Esto
contribuye a la mejora de los sistemas de
administración/gestión.
• La administración/gestión de riesgos es
parte de todas las actividades asociadas con la
organización e incluye la interacción con las
partes interesadas.
• La administración/gestión de riesgos
considera los contextos interno y externo de la
organización, incluyendo el comportamiento
humano y los factores culturales.
Conceptos de amenaza, vulnerabilidad,
impacto y probabilidad.
• Amenaza: es un evento que puede producir un incidente en la
organización, produciendo daños materiales o pérdidas económicas.
• Vulnerabilidad: es la posibilidad de ocurrencia de la materialización
de una amenaza sobre un activo.
• Impacto: es la consecuencia de la ejecución de una amenaza
• Probabilidad: Posibilidad de que algo suceda (evento de riesgo)
Fórmula de
medición del
riesgo.
A la hora de calcular el riesgo, si
hemos optado por hacer el análisis
cuantitativo, calcularemos
multiplicando los factores
probabilidad e impacto:
RIESGO = PROBABILIDAD x IMPACTO.
Si por el contrario hemos optado por
el análisis cualitativo, haremos uso
de una matriz de riesgo como la que
se muestra a continuación
Opciones de tratamiento de los riesgos.
Una vez calculado el riesgo, debemos tratar aquellos riesgos que superen un límite que
nosotros mismos hayamos establecido. Por ejemplo, trataremos aquellos riesgos cuyo valor
sea superior a “4” o superior a “Medio” en caso de que hayamos hecho el cálculo en
términos cualitativos. A la hora de tratar el riesgo, existen cuatro estrategias principales:
• Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que cubra los daños
a terceros ocasionados por fugas de información.
• Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está sujeto a un
riesgo elevado. En el caso práctico que hemos expuesto, podríamos eliminar la wifi de
cortesía para dar servicio a los clientes si no es estrictamente necesario.
• Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar un grupo
electrógeno puede ser demasiado alto y por tanto, la organización puede optar por
asumir.
• Implantar medidas para mitigarlo. Por ejemplo, contratando un acceso a internet de
respaldo para poder acceder a los servicios en la nube en caso de que la línea principal
haya caído.