La gestión de riesgos es el proceso de identificar, evaluar y controlar los riesgos financieros, legales, estratégicos y de seguridad para el capital y las ganancias de una organización. Estas amenazas o riesgos pueden surgir de una variedad de fuentes, incluida la incertidumbre financiera, la responsabilidad legal, los errores de gestión estratégica, los accidentes y los desastres naturales.
La gestión de riesgos consiste en identificar y proteger los activos valiosos de una organización. Un programa de gestión de riesgos es un proceso esencial para preparar una organización para futuros ataques de ciberseguridad, evaluar su resistencia a posibles ataques antes de comercializar productos y servicios y prevenir el fraude.
Para TI, el riesgo surge de la posible pérdida o daño si una amenaza explota una vulnerabilidad de seguridad en su sistema de hardware o software. Vulnerabilidades y exposiciones comunes (cve.mitre.org) es una lista disponible públicamente de vulnerabilidades de seguridad que permite a los profesionales de TI coordinar sus esfuerzos para priorizar y abordar estos problemas para mejorar la seguridad de los sistemas informáticos.
La gestión de riesgos se trata de priorizar aquellos riesgos que tienen más probabilidades de tener el mayor impacto y trabajar para eliminarlos.
Pasos de la gestión de riesgos:
- Identificación: identifique y describa los riesgos potenciales. Entre los tipos de riesgos se incluyen los financieros, los operativos (como los de la cadena de suministro), los comerciales, los del proyecto y los del mercado, entre otros. Los riesgos identificados deben documentarse de alguna manera, por ejemplo, en un registro.
- Análisis: analice los factores de riesgo y documente las posibles consecuencias para determinar la probabilidad de que surja algún nuevo riesgo.
- Evaluación y valoración: realice auditorías internas y análisis de riesgos para determinar su magnitud. Además, deberá decidir qué nivel de riesgo es aceptable y cuáles deben abordarse de inmediato.
- Atenuación: tras determinar la prioridad y la importancia de los riesgos, puede proceder con una estrategia de respuesta para disminuirlos o controlarlos.
- Supervisión: los riesgos y los indicadores deben supervisarse permanentemente a fin de garantizar que los planes para reducirlos funcionen; o bien, para saber si alguno se convertirá en una mayor amenaza.
Enfoques de gestión de riesgos
Hay cinco estrategias generalmente aceptadas para hacer frente al riesgo. El proceso comienza con una consideración inicial de prevención de riesgos y luego continúa a través de tres vías adicionales para abordar el riesgo (transferencia, transmisión y reducción). Idealmente, estas tres vías se usan juntas como parte de una estrategia integral. Es posible que quede algo de riesgo residual.
Evasión de riesgos
La evasión es un método para mitigar el riesgo al no participar en actividades que puedan afectar negativamente a la organización. No realizar una inversión o iniciar una línea de productos son ejemplos de tales actividades, ya que evitan el riesgo de pérdida.
Reducción de riesgos
Este método de gestión de riesgos intenta minimizar la pérdida, en lugar de eliminarla por completo. Si bien acepta el riesgo, se mantiene enfocado en contener la pérdida y evitar que se propague. Un ejemplo de esto en el seguro médico es el cuidado preventivo.
Riesgo compartido
Cuando se comparten los riesgos, la posibilidad de pérdida se transfiere del individuo al grupo. Una corporación es un buen ejemplo de riesgo compartido: varios inversionistas juntan su capital y cada uno solo asume una parte del riesgo de que la empresa pueda fracasar.
Transferencia de riesgos
La transferencia contractual de un riesgo a un tercero, como un seguro para cubrir posibles daños o lesiones a la propiedad, traslada los riesgos asociados con la propiedad del propietario a la compañía de seguros.
Aceptación y retención de riesgos
Después de que se hayan implementado todas las medidas de distribución de riesgos, transferencia de riesgos y reducción de riesgos, quedará algo de riesgo, ya que es prácticamente imposible eliminar todos los riesgos (excepto mediante la evitación de riesgos). A esto se le llama riesgo residual.