Manejo de Riesgos - Conceptos y Escenarios

-

Introducción

    El proceso de identificar, evaluar y controlar las amenazas de los activos y capital de una organización se conoce como Gestión de Riesgos. Estos peligros surgen de una variedad de fuentes, incluida la incertidumbre financiera, las responsabilidades legales, los problemas tecnológicos, los errores de gestión estratégica, los accidentes y los desastres naturales. La Gestión de Riegos adecuada ayuda a una organización a considerar todos los riesgos que puede enfrentar. La gestión de riesgos también evalúa la relación entre los riesgos y las posibles consecuencias para los objetivos estratégicos de una organización.

    La gestión de riesgo no solo se centra en las amenazas internas y externas, también enfatiza en la importancia de gestionar el riesgo positivos. Los riesgos positivos son oportunidades que, si no se aprovechan, pueden aumentar el valor empresarial o perjudicar a una organización. De hecho, el objetivo de cualquier programa de gestión de riesgos no es eliminar todos los riesgos, sino preservar y agregar valor a la empresa tomando decisiones prudentes sobre los riesgos. Se gestionan los riesgos para saber cuáles vale la pena tomar en consideración en forma positiva o negativa. Como resultado, un programa de gestión de riesgos debe integrarse en la estrategia organizacional. Para conectarlos, los personas a cargo de la gestión de riesgos primero deben definir la cantidad de riesgo que está dispuesta a aceptar para lograr sus objetivos.

    La tarea difícil se convierte entonces en determinar qué riesgos se pueden aceptar por la organización y cuáles requieren controles y acciones adicionales antes de que sean aceptables. Algunos riesgos deben ser reducidos, compartidos o transferidos a un tercero, o en el sentido de las acciones que debe suponer las gestión de riesgos, evitarlos por completo.  Es por esto que todas organización enfrentan los riesgos de eventos negativos imprevistos que pueden costar dinero o forzar el cierre. 

La gestión de riesgos es crucial.

    La globalización ha complicado los riesgos de las organizaciones modernas. Con frecuencia surgen nuevas amenazas, a menudo vinculadas al uso generalizado de la tecnología digital. Los expertos llaman a la pandemia COVID-19 y al cambio climático un multiplicador de amenazas.  La pandemia de coronavirus, que comenzó como una preocupación de la cadena de suministro para muchas empresas, se convirtió rápidamente en una amenaza existencial para la salud y la seguridad de los empleados, las operaciones comerciales, las interacciones con los consumidores y la reputación de organizaciones.

    Algunas empresas respondieron rápidamente a las amenazas de la pandemia, otras empresas sencillamente colapsaron. Es seguro, que aún muchas empresas deben decidir si su personal de trabajo debe retornar y cómo hacer que sus sistemas de suministro sean menos sensibles a estos desastres u otros. Las empresas ahora utilizan un enfoque reactivo para la gestión de riesgos ante situaciones potenciales no considerados como la pandemia. Es necesario explorar las ventajas competitivas de un enfoque más proactivo en toda situación de riesgo. La sostenibilidad, la resiliencia y la agilidad empresarial son prioridades. Las empresas están estudiando cómo las plataformas de Inteligencia Artificial y otras tecnologías podrían mejorar la gestión de riesgos.

La gestión de riesgos debe ser colaborativa, multi-funcional y global. 

    La gestión de riesgos debe ser una actividad organizacional que incluya un equipo que puede de al menos cinco personas, con accesibilidad a la alta gerencia y al personal administrativo. Este equipo debe ayudar a proveer las herramientas e información correctas para analizar los riesgos y tomar las decisiones correctas.  El personal de gestión de riesgo debe tener una mentalidad de auditor y una sólida comprensión de la cultura empresarial. Este personal debe tener compromiso con la reputación de la organización, y percibir la gestión de riesgo como un seguro para los procesos de la organización y sus finanzas.

La Gestión de Riesgos como actividad.

    Existen muchos recursos de información y conocimiento que  describen lo que debe hacer una empresa para gestionar sus riesgos. Uno de los recursos mas conocidos relacionados a al gestión de riesgos es la ISO 31000, Gestión de riesgos - Directrices. La ISO, a través de esa publicación ofrece cinco pasos que puede aplicar cualquier organización en sus procesos de gestión de riesgo. Estos son:

  • Identificar y evaluar los riesgos.
  • Analizar la probabilidad y el impacto de cada uno.
  • Priorizar los riesgos.
  • Mitigar los riesgos existentes, o describir los procesos para hacerlo.
  • Evaluar los resultados y modificar la gestión según sea necesario.

    Los equipos de gestión de riesgos no deben subestimar el trabajo que implica el proceso. En primer lugar, debe saber muy bien cómo funciona la organización y la cultura que posee. El propósito es identificar los riesgos que enfrenta la empresa, su probabilidad e impacto, cómo cada uno se relaciona con el riesgo máximo que la organización está dispuesta a aceptar y qué acciones se deben tomar para preservar y mejorar el valor organizacional.  

    Según el Informe Interinstitucional del NIST (NISTIR 8286A), sobre el reconocimiento del riesgo de ciberseguridad en la gestión de riesgo, deben estar presentes cuatro componentes para un escenario de riesgo negativo:

  • Un artículo o recurso valioso que puede dañarse.
  • Existe alguna fuente de amenaza que actuaría contra algún activo.
  • Una condición o debilidad preexistente permitirá que esa fuente de amenaza suceda.
  • Existe un impacto dañino de la fuente de amenaza que saca provecho de esa vulnerabilidad.

    Se pueden utilizar enfoques similares para gestionar tanto los buenos riesgos como los negativos.

Estándares en la Gestión de Riesgos

    El escrutinio regulatorio y a nivel de directorio de las prácticas de gestión de riesgos ha aumentado a medida que las reglas de cumplimiento gubernamentales y de la industria se han expandido en las últimas dos décadas, lo que hace que el análisis de riesgos, las auditorías internas, las evaluaciones de riesgos y otras funciones de gestión de riesgos sean un componente importante de la estrategia empresarial. De igual manera, han surgido múltiples estándares o marcos de trabajo que permiten realizar de forma correcta la gestión de riesgos.

Algunos de los estándares o marcos de gestión de riesgos existentes son:

  • COSO ERM. Define los principales conceptos y principios de la gestión de riesgos empresarial, recomienda un vocabulario común y contiene una guía para la gestión de riesgos. El marco consta de 20 principios estructurados en cinco componentes interrelacionados: gobernanza y cultura estrategia y establecimiento de objetivos evaluación del desempeño y revisión información, comunicación e informes.
  • ISO 31000. La norma ISO proporciona conceptos de gestión de riesgos empresarial, un marco para aplicar la gestión de riesgos a las operaciones y un procedimiento para identificar, analizar, priorizar y reducir el riesgo. El nuevo estándar actual también enfatiza la participación de la alta dirección en la gestión de riesgos y la integración de toda la organización.
  • BS31100. La edición de este código de prácticas de gestión de riesgos contiene funciones que incluyen identificar, evaluar, responder, informar y revisar.

Ejemplos de Fallos en la Gestión de Riesgos

    Las fallas en la gestión de riesgos generalmente se atribuyen a irregularidades intencionales, descuidos o circunstancias imprevisibles. Las fallas en la gestión de riesgos a menudo son causadas por errores evitables y por la búsqueda de ganancias. A continuación varios ejemplos de errores comunes en la gestión de riesgos:

  • Mala administración. Citigroup pagó involuntariamente un préstamo de 900 millones de dólares a los prestamistas de Revlon con su propio dinero cuando solo se adeudaba un pequeño pago de intereses. Esto demuestra que incluso el banco más grande del mundo puede cometer errores en la gestión de riesgos, a pesar de las regulaciones actualizadas para las circunstancias laborales de la pandemia y muchas salvaguardas. Un juez determinó que el mal gobierno era la razón principal, no un error humano o un software engorroso. Citigroup acordó renovar sus procesos internos de gestión de riesgos, gobierno de datos y cumplimiento después de recibir una multa de $ 400 millones.
  • Datos engañosos. La administración del gobernador de Nueva York tergiversó la mortalidad relacionada con el coronavirus en los centros de enfermería, lo que ilustra una deficiencia generalizada en la gestión de riesgos. Los datos ocultos, perdidos o segmentados pueden causar problemas de transparencia. Los administradores de riesgos se conforman con datos de fácil acceso, sin pasar por procesos claves y esenciales.
  • Limitaciones del análisis de riesgos. Crear un modelo de riesgo o una simulación requiere una gran cantidad de datos. La recopilación de datos puede ser costosa y poco confiable. El uso de indicadores básicos para indicar circunstancias de riesgo complicadas también puede conducir a una mala toma de decisiones. La aplicación de una decisión de proyecto destinada a una pequeña parte del proyecto completo puede conducir a resultados erróneos.
  • Análisis de riesgo insuficiente. El software de simulación puede ser rentable, pero requiere empleados experimentados para interpretar los datos. Los análisis de riesgos deben estar basados en información que represente el estado de situación actual en una organización. Algunos equipos de gestión de riesgos toman una lista de riesgos generados para otras organizaciones a base de información desconocen.
  • Manipulación. Los modelos de riesgo pueden hacer que las organizaciones crean que pueden medir y regular cada riesgo. Es tentador para un equipo de gestión de riesgo o una empresa acelerar los procesos de gestión de riesgos copiando modelos de otras empresas. Esto podría hacer que una empresa pase por alto amenazas nuevas o imprevistas. 

Conclusión, las tendencias futuras en la gestión de riesgos

    La pandemia de COVID-19 puso de relieve la gestión de riesgos, lo que llevó a muchas empresas a re evaluar sus procedimientos de riesgo y explorar nuevas metodologías, tecnologías y procesos. Más empresas están implementando planes de continuidad basados en procesos de gestión de riesgo.  Algunas han integrado equipos de gestión de riesgos para generar y administrar políticas, evaluar riesgos, descubrir brechas de cumplimiento y automatizar auditorías internas. Son más las empresas que están formalizando una gestión de riesgos para proporcionar valor comercial. Si bien es difícil pronosticar el futuro, las técnicas para monitorear y administrar los riesgos están mejorando. 


Comentarios

Publicar un comentario

Entradas populares de este blog

Siete recursos para facilitar la Auditoría de las Tecnologías de la Información

-
Introducción     A medida que la tecnología se integra más en la estructura de la gestión y las operaciones comerciales, se vuelve más importante evaluar la utilización de la tecnología y preparar una evaluación de las amenazas y oportunidades disponibles para auditar las Tecnologías de la Información.      En términos de amenazas, un sistema inadecuado de almacenamiento de datos o documentos puede representar un riesgo para una organización. Las políticas débiles que rigen el uso de las tecnologías de información de la empresa pueden exponer o amenazar los datos e información. El uso de software no autorizado, particularmente el software no autorizado instalado por los empleados, podría resultar en multas de miles o incluso millones de dólares por infracción de derechos de autor. Y estos son sólo los peligros evidentes.      No obstante, son mayores las oportunidades y beneficios que obtienen las empresas al utilizar las tecnologías de información en sus procesos y servicios. Las tabl
Leer más

Control de Acceso - La gestión primaria para la seguridad de las TI

-
La Gestión de Control de Acceso en las Tecnologías de la Información Introducción Debe ser irrefutable, que la gestión principal de la gerencia de TI debe ser garantizar la seguridad de los datos y del sistema. Si bien en la actualidad, casi todas las aplicaciones financieras, de manejo de recursos humanos, de contabilidad, entre otras, poseen algún procedimiento de control de acceso no necesariamente proveen privacidad, seguridad y defensa de sus datos.  Si bien el control de acceso media en el intento de cada usuario de acceder a un recurso del sistema no solo se limita al ámbito del software.  Después de la autenticación del usuario, algunos sistemas otorgan acceso completo, pero la mayoría requiere un control más sofisticado.  El control de acceso considera tanto la autenticación (contraseñas) como las autorizaciones. En algunos casos, la autorización puede reflejar la estructura de la organización, mientras que en otros puede basarse en la confidencialidad de los datos y la autori
Leer más