Metodologías más utilizadas para la gestión de riesgos

Gestión de riesgos

La identificación y gestión de riesgos en las organizaciones es un aspecto clave del que depende en gran parte el éxito de la organización, su permanencia en el mercado y hasta el bienestar de las partes involucradas en la gestión de la misma, cómo lo hemos tratado en otros artículos, la gestión de riesgos tiene un espectro amplio de aplicación tanto en temas corporativos, de seguridad y salud, de medio ambiente, de seguridad de la información, entre otros.

Por ello existen diferentes metodologías propuestas para la gestión de los mismos, si bien la organización puede definir su propia metodología, o adaptar alguna existente de acuerdo a las necesidades, a continuación  encontrará una breve referencia de las más utilizadas, en el caso de las normas ISO se debe tener en cuenta que debido a su estructura de alto nivel los pasos generales están relacionados en las diferentes normas, lo que se modificará es el enfoque de los mismos dependiendo del tema que se aborde en cada una de ellas.

ISO 310001

Tiene como finalidad, establecer lineamientos, directrices para la gestión de riesgos en esta se destacan las siguientes etapas para la gestión:

• Establecer el alcance: se refiere a que la organización debe definir la dimensión, los niveles o procesos en los que gestionará actividades para la gestión del riesgo.
• Definir el contexto: realizar el análisis de su entorno tanto interno como externo, para definir los factores que pueden ser origen de riesgos.
• Evaluar el riesgo: para ello se debe realizar inicialmente la identificación del mismo, posteriormente realizar un análisis mediante variables que definan el nivel del riesgo, y por último la valoración que implica comparar el resultado del riesgo en el análisis vs. el resultado de la valoración para establecer panes de tratamiento.
• Plan de tratamiento: establecer actividades, responsables, metas y fechas de cumplimiento para dar respuesta a los riesgos encontrados.
• Seguimiento y revisión: monitoreo de los resultados y establecimiento de nuevos planes de tratamiento de ser necesario.

ISO 27005

Establece lineamientos para a gestión de riesgos relacionados con la seguridad de la información, establece cuatro pasos fundamentales para la implementación de la misma:

• Establecer el contexto.
• Identificación de los riesgos relacionados con seguridad de la información.
• Análisis.
• Evaluación.

Al respecto también es importante tener en cuenta en el caso de los riesgos de seguridad de la información, establecer un inventario y calificación de activos de la información que se integran posteriormente a la gestión de los riesgos.

ISO 31022-2020

Establece una guía para las actividades que deben desarrollar las organizaciones para la gestión del riesgo legal a través de las siguientes etapas:

• Establecer el contexto (Teniendo en cuenta los aspectos más relevantes)
• Evaluación del riesgo legal.
• Tratamiento del riesgo legal.
• Mecanismos de consulta y reportes acerca de la gestión del riesgo legal.

Project Management Instituite (Gestión de riesgos en proyectos)

Establece una metodología que permite maximizar la probabilidad yo el impacto de los riesgos positivos y minimizar la probabilidad o el impacto de los riesgos negativos, enfocados en el logro del éxito de los proyectos, establece los siguientes pasos:

• Planificación de la gestión de riesgos.
• Identificación de los riesgos.
• Realizar análisis cualitativo y cuantitativo de los riesgos.
• Establecer e implementar las respuestas ante los riesgos.
• Realizar seguimiento y monitoreo.

Existen metodologías que apoyan la medición, la cuantificación de los riesgos, entre el más conocido encontramos:

• Método DELPHI:  consiste en una metodología en la que un panel de expertos realiza discusiones acerca de las causas técnicas, científicas y económicas de un evento, en este caso enfocado al análisis de riesgos para al final llegar a soluciones en común.
• Mapa de Riesgos: herramienta que se basa en la identificación de los procesos o actividades que pueden dar origen a los riesgos cuantificando la probabilidad e impacto (a través de niveles cuali-cuantitativos) en caso de que se materialice el riesgo y se puede aplicar en cualquier modelo de negocio.
• Magerit V3: metodología creada por Consejo Superior de Administración Electrónica de España, enfocada en la gestión de los riesgos relacionados con las tecnologías de la información y las comunicaciones, tomando en cuenta las dimensiones de disponibilidad, integridad y confidencialidad, establece un modelo que integra la gestión de riesgos con los pasos y lineamientos de la norma ISO 31000 y se complementa con la gestión de los activos  que establece que se debe realizar una identificación, establecer la dependencia entre activos, y la valoración de los mismos.
• Indicador Clave de riesgos (KRI- Key Risk Indicators): corresponde a indicadores que ayudan a conocer que tan posible es que se materialice un riesgo y el impacto que este generaría, ejemplo: el riesgo de interrupción del trabajo por causa de la interrupción del servicio de internet se podría medir de la siguiente forma, Horas acumuladas en el mes sin servicio de internet, para este tipo de indicadores es muy importante establecer los límites, ejemplo si el tiempo sin servicio es mayor o igual a 10 horas el riesgo es Alto, entre 5 y 9 horas es medio, y entre 0 y 5 horas es básico, es importante basarse en las mediciones históricas y establecer planes de tratamiento al respecto.

Software GRCTools

El Software GRCTools para la Gestión de Riesgos Corporativos, es un gran aliado para el seguimiento y monitoreo de cualquier riesgo identificado en su organización, independientemente de su perfil u origen.

Establecer medidas y tomar decisiones mediante las matrices de gestión de riesgos de nuestro software es muy sencillo, ¿quiere saber cómo?