Proceso de implementación de gestión de

riesgos.

Para implementar un sistema de gestión de riesgos se deben realizar las

siguientes actividades:
1. Establecer el contexto del SGR.
Lo primero que se debe hacer es darle un puntaje a cada uno de los
riesgos, sean internos o externos. Estos últimos son los que se pueden
presentar por aspectos naturales, culturales, políticos, entre otros;
mientras que los riesgos internos están directamente relacionados con la
compañía y todo lo que sucede dentro de esta: funciones, estrategias
planteadas, temas financieros, procesos y recurso humano.
Proceso de implementación de gestión
de riesgos.

2. Identificación de los riesgos

En este punto hay que reconocer cuáles son los principales riesgos a los que
está expuesta la organización. Una vez se hayan definido, se plantean otros
secundarios que también podrían generar desajustes a la empresa y obstaculizar
los objetivos propuestos.
Después de haberlos establecido, cada una de las áreas encargadas los asumirá
como propios para de esta manera, poder ejecutar el plan que se va a llevar a
cabo.
Cada área debe definir un responsable y estos se reunirán para empezar
a identificar los riesgos y conocer cuáles son los factores que los pueden generar.
Proceso de implementación de gestión
de riesgos.

Para tener mayor impacto en esta etapa de identificación, es

conveniente hacerse preguntas como:
• ¿Cuál área se puede ver afectada por X riesgo?
• ¿De qué forma la afecta?
• ¿Qué consecuencias trae al área y a la organización en general?
• ¿Cuál es la probabilidad de que ocurra?
• ¿Qué consecuencias traerá?
• ¿Es posible su prevención?
• ¿Qué estrategia se deben poner en marcha?
 3. Análisis del riesgo
Proceso de • Luego de definir y consignar los
riesgos, se valora en qué escala se
implementación de determinarán y cuáles serán las
actividades de control que se
gestión de riesgos. ejecutarán para identificar el impacto
que puede causar. Generalmente, el
impacto se identifica con variables
como: limitado, bajo, moderado, alto y
significativo.
• Al hacer esto se puede crear un mapa
de riesgos que servirá como guía para
priorizar los riesgos, clasificarlos en una
escala de uno a diez, siendo diez el más
alto y uno el más bajo, identificar el
área encargada y cuál es el plan de
acción que deben poner en práctica.
Análisis del riesgo
• Esto permitirá crear un mapa de
riesgos el cual servirá como guía para
priorizar los riesgos, clasificarlos en
una escala de uno a diez, siendo diez
el más alto y uno el más bajo,
identificar el área encargada y cuál es
el plan de acción que deben poner en
práctica.
Proceso de implementación de gestión
de riesgos.

4. Comunicación y consulta
Se busca recopilar información a través de diferentes medios para dar a
conocer lo que cada una de las áreas ha encontrado durante el proceso de
implementación del sistema de gestión de riesgos.
5. Análisis crítico
Se puede definir como la evaluación del sistema de gestión de riesgos que
se está poniendo en marcha. Con esto se busca resaltar los puntos
positivos que ha traído la gestión y mejorar en los aspectos que no están
siendo tan efectivos.
Proceso de implementación
de gestión de riesgos.

6. Tratamiento del riesgo

Tratamiento del riesgo

• El proceso de tratamiento de
riesgos consiste en seleccionar y aplicar
las medidas más adecuadas, con el fin de
poder modificar el riesgo, para evitar de
este modo los daños intrínsecos al factor
de riesgo, o bien aprovechar las ventajas
que pueda reportarnos.
Estrategias de tratamiento de riesgos
Evitar el riesgo
• La única forma en la que se puede evitar un riesgo es parando o no iniciando la actividad que lo genera. Normalmente,
esta estrategia de tratamiento de riesgos se selecciona cuando el riesgo tiene un impacto negativo muy grande para la
organización. En este caso, una de las opciones es buscar una actividad o tarea alternativa que suponga un riesgo menor.
Estrategias de minimización de riesgos
• Dentro de esta estrategia existen dos enfoques. El primero consiste en modificar la probabilidad o las consecuencias del
riesgo cuando este es inevitable para la empresa y la actividad se debe llevar a cabo. Se puede realizar mediante el uso de
modelos predictivos gracias a las técnicas de “Machine Learning”.
• El segundo enfoque consiste en compartir el riesgo. Normalmente, esta estrategia incluye la compra de seguros o la firma de
contratos. Antes de tomar esta decisión, es importante analizar el coste que tendrá y si es asumible para la organización.
Aceptación y retención de riesgos
• A veces, existen riesgos que pueden asumirse e incluso, aumentarse con la finalidad de encontrar nuevas oportunidades de
negocio. Por ejemplo, cuando un riesgo es muy frecuente, pero no llega a comprometer un objetivo empresarial, se puede aceptar
y controlar, para ver su evolución.
Criterios para aceptar o no un riesgo
• Que sea justificable económicamente.
• Una vez analizadas las combinaciones de tratamiento del riesgo, se
debe determinar cuál es la mejor.
• Se deben considerar los valores, percepciones y potencial de
implicación de las partes interesadas.
• Es necesario que la empresa sea consciente de las consecuencias no
intencionadas que puedan surgir a lo largo del tiempo.
Proceso de implementación de gestión de
riesgos.

7. Monitoreo
Periódicamente se deben hacer revisiones para saber si los planes de
acción que se han implementado en cada uno de los riesgos son los
correctos, esto ayudará a entender si la tarea se está haciendo bien y se
están logrando resultados positivos o si. por el contrario, se debe mejorar
y en algunos casos cambiar porque como hemos dicho, la gestión de
riesgos es un proceso dinámico y se debe retroalimentar de acuerdo a
los cambios que se van presentando tanto externa como internamente.
Definición de componentes del proceso de
gestión de riesgos.

Comunicación y consulta
• Con esto se busca crear incentivos para toda la organización para que
entiendan la necesidad de tomar conciencia frente a los riesgos que se
puedan presentar y que esto es un tema que le compete a todos los
miembros, pues la mayoría de las áreas pueden verse afectadas.
• En cuanto a la consulta, es utilizada como un método para obtener
información que es clave al momento de la toma de decisiones, al
mismo tiempo para ayudar a las partes involucradas a manejar
la gestión del riesgo.
Definición de componentes del proceso de
gestión de riesgos.

Alcance, contexto y criterios

• En esta etapa se adapta el proceso de gestión de riesgo con el fin de
poder realizar una evaluación del riesgo eficaz y encontrar la manera
adecuada para llevar a cabo el proceso de esto. Aquí también se define
el alcance que puede tener el plan de acción y entender el contexto en
el que se desenvuelve la organización a nivel interno y externo.
Definición de componentes del proceso de
gestión de riesgos.

Evaluación del riesgo

• En esta etapa se lleva a cabo el proceso de identificar, analizar y valorar los
riesgos que se puedan presentar dentro de la compañía y que puedan afectar
los objetivos planteados.
Identificación del riesgo
• Es importante reconocer, clasificar y describir las amenazas que se puedan dar
dentro de la empresa para tener un plan de acción que ayude en el proceso de
mitigación y en caso de que ocurra, se pueda actuar de manera inmediata.
Definición de componentes del proceso de
gestión de riesgos.

Análisis del riesgo

• Lo que se busca en este paso es descifrar el origen del riesgo y las características que
este pueda tener, para clasificarlo en una escala de mayor a menor nivel de
importancia.
Valoración del riesgo
• Esto es fundamental en el proceso de toma de decisiones, pues acá como su nombre
lo indica se le da el valor a cada uno de los riesgos para saber cómo se debe actuar
frente a ellos.
Tratamiento del riesgo
• Acá se da conocer el plan de acción que se va a realizar con cada uno de los riesgos en
caso de que se lleguen a presentar y el control de cada sistema de gestión.
Definición de componentes del proceso de
gestión de riesgos.

Seguimiento y revisión
• Para validar que el riesgo esté bien calificado y que los controles que
están asociados a este sí están ayudando a mitigarlo.
Registro e informe
• Para demostrar cómo ha sido la gestión de riesgo y ver en qué se está
fallando para hacer mejoras.
Interrelación de
componentes del proceso de
gestión de riesgos.

• La administración/gestión de riesgos es
parte de la gobernanza y el liderazgo y es
fundamental en la manera en que se gestiona
la organización en todos sus niveles. Esto
contribuye a la mejora de los sistemas de
administración/gestión.
• La administración/gestión de riesgos es
parte de todas las actividades asociadas con la
organización e incluye la interacción con las
partes interesadas.
• La administración/gestión de riesgos
considera los contextos interno y externo de la
organización, incluyendo el comportamiento
humano y los factores culturales.
Conceptos de amenaza, vulnerabilidad,
impacto y probabilidad.
• Amenaza: es un evento que puede producir un incidente en la
organización, produciendo daños materiales o pérdidas económicas.
• Vulnerabilidad: es la posibilidad de ocurrencia de la materialización
de una amenaza sobre un activo.
• Impacto: es la consecuencia de la ejecución de una amenaza
• Probabilidad: Posibilidad de que algo suceda (evento de riesgo)
Fórmula de
medición del
riesgo.
A la hora de calcular el riesgo, si
hemos optado por hacer el análisis
cuantitativo, calcularemos
multiplicando los factores
probabilidad e impacto:
RIESGO = PROBABILIDAD x IMPACTO.
Si por el contrario hemos optado por
el análisis cualitativo, haremos uso
de una matriz de riesgo como la que
se muestra a continuación
Opciones de tratamiento de los riesgos.
Una vez calculado el riesgo, debemos tratar aquellos riesgos que superen un límite que
nosotros mismos hayamos establecido. Por ejemplo, trataremos aquellos riesgos cuyo valor
sea superior a “4” o superior a “Medio” en caso de que hayamos hecho el cálculo en
términos cualitativos. A la hora de tratar el riesgo, existen cuatro estrategias principales:
• Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que cubra los daños
a terceros ocasionados por fugas de información.
• Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está sujeto a un
riesgo elevado. En el caso práctico que hemos expuesto, podríamos eliminar la wifi de
cortesía para dar servicio a los clientes si no es estrictamente necesario.
• Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar un grupo
electrógeno puede ser demasiado alto y por tanto, la organización puede optar por
asumir.
• Implantar medidas para mitigarlo. Por ejemplo, contratando un acceso a internet de
respaldo para poder acceder a los servicios en la nube en caso de que la línea principal
haya caído.