La Gestión de Riesgos es toda actividad cuyo objetivo es mantener el Riesgo por debajo del umbral fijado

¿Qué es el Umbral de Riesgo? Es el nivel máximo de riesgo que una empresa está dispuesta a soportar. La Gestión de Riesgos debe mantener el nivel de riesgo siempre por debajo del umbral. Esto supone costos, son los costos de protección que implican para las organizaciones los recursos y esfuerzos que dediquen a mantener el riesgo por debajo del umbral. Las organizaciones deben vigilar de no emplear más recursos de los necesarios para cumplir ese objetivo. 

La Gestión de Riesgo implica dos grandes Tareas:

• Análisis de Riesgo: Consiste en averiguar el nivel de riesgo que la empresa está soportando.

• Tratamiento de los Riesgos: Para aquellos riesgos cuyo nivel está por encima del umbral deseado la empresa debe decidir cuál es el mejor tratamiento que permita disminuirlos. 

Gestión de Riesgo = Análisis de Riesgo + Tratamiento de Riesgos

Para el tratamiento de Riesgos las empresas cuentan, entre otras, con las siguientes opciones:

• Evitar o eliminar el riesgo.

• Reducirlo o mitigarlo.

• Reducir la probabilidad o frecuencia de ocurrencia.

• Reducir el impacto de la amenaza o acotar el impacto.

• Transferirlo, compartirlo o asignarlo a terceros. 

• Aceptarlo.

Etapas del Proceso de Gestión de Riesgo

Comunicación y Consulta: Esta actividad es la primera y abarca todas las siguientes ya que se debe realizar en todas las etapas. En ella se fomenta la participación y se coordinan las actuaciones de todas las partes implicadas, tanto internas como externas, en la gestión de riesgos.

Determinar el Contexto: Hay que determinar los condicionantes tanto internos como externos que definen el marco de trabajo. A nivel interno se tendrán en cuenta la cultura, recursos, procesos y objetivos del negocio. A nivel externo se consideraran diferentes aspectos relativos al entorno social, económico o legislativo. Valoración o Apreciación de Riesgos: En esta etapa se determinan los riesgos que van a ser controlados por medio de su identificación, análisis y evaluación. Todos aquellos riesgos que no sean identificados quedarán como riesgos ocultos o no controlados.

En esta Fase se realizan las siguientes Actividades:

• Identificación del Riesgo: Cuyo objetivo es búsqueda, reconocimiento y descripción de todos los posibles puntos de peligro, tanto internos como externos; para cada uno de ellos se determinará su impacto y probabilidad.

• Análisis del Riesgo: Es la etapa en la cual se califican cada uno de los riesgos, identificados tanto de forma cuantitativa como cualitativa.Se analizan cómo se desarrollan los riesgos, estudiando sus causas y consecuencias, y por último, se mide el nivel de riesgo.

• Evaluación del Riesgo: El objetivo es determinar prioridades en el uso de los recursos a emplear en la gestión de riesgos. En esta fase se amplía la calificación del análisis anterior incluyendo valoraciones en términos de estrategia de negocio que permitan establecer qué riesgos son aceptables y cuáles no.

Tratamiento del Riesgo: Se identifican y evalúan las opciones existentes de tratamiento de cada uno de los riesgos que sea necesario tratar según se determinó en la fase anterior. Algunas de las opciones de tratamiento son: evitarlo, reducirlo o mitigarlo, transferirlo o compartirlo y aceptarlo.

Seguimiento y Revisión: Para conseguir una mejora continua se supervisa lo que está ocurriendo en la práctica y se realizan las correcciones que fueran necesarias. También se evalúa el propio sistema de gestión, detectando posibles deficiencias y oportunidades de mejora. La revisión de los cambios del entorno está incluida en esta etapa, realimentando la fase de determinación del contexto.

Fuente:

• Gestión de Riesgos: Una guía de aproximación para el empresario. Instituto Nacional de Ciberseguridad. España (2015).