En la vida diaria, todas las personas realizamos procesos de toma de decisiones, simples y complejos, sobre una gran diversidad de situaciones, en la que, de manera implícita, podemos hacer una evaluación de riesgo de manera instantánea y casi inconsciente, es decir, con un análisis formal mínimo…
En la vida diaria, todas las personas realizamos procesos de toma de decisiones, simples y complejos, sobre una gran diversidad de situaciones, en la que, de manera implícita, podemos hacer una evaluación de riesgo de manera instantánea y casi inconsciente, es decir, con un análisis formal mínimo, de modo que consideremos las opciones existentes y seleccionar la mejor de acuerdo con las necesidades del momento, para tratar de controlar el impacto no deseado de las mismas. De manera general, el concepto de riesgo esta comúnmente asociado con un evento negativo o no deseado. Por ejemplo, si al conducir nuestro vehículo encontramos una gran cantidad de tráfico, podemos considerar rutas alternativas más despejadas, que reducen el impacto de llegar a una hora no conveniente a nuestro destino (evento no deseado). Así también, para evitar tener un accidente (evento no deseado), evaluaremos distintas situaciones, como puede ser: si estamos conduciendo un vehículo, determinar la velocidad adecuada para conducir el vehículo; o si vamos caminando por la calle, el momento y lugar más seguro para cruzar una avenida.
Asimismo, todas las organizaciones y empresas de todos tamaños están expuestas a eventos negativos o no deseados como resultado de su operación diaria, o de las regulaciones o normatividades a las que deben apegarse por la actividad que realizan, y que sin embargo, por la estructura de una organización, no pueden analizarse como en los ejemplos anteriores de manera instantánea y requieren un proceso más formal de análisis de riesgos.
En una organización, es crítico conocer los riesgos a los que está expuesta, cual es el impacto que pueden tener en sus actividades diarias y la manera en que este impacto puede controlarse. Como se comentó, esto implica la necesidad de un proceso más formal y de aplicación continua para el análisis de riesgos, así como de capacidades y estructuras organizacionales específicas para esta actividad. Si no se cuenta con este proceso y capacidades necesarias para el análisis de riesgos, los eventos no deseados que se pueden materializar pueden tomar una gran cantidad de formas, como puede ser la pérdida de credibilidad o de mercado, multas por incumplimiento de regulaciones, pérdidas financieras por problemas en procesos operativos, etc. Al conjunto de actividades que realizan dentro de una organización para identificar, entender y controlar los riesgos es a lo que se le conoce como Gestión de Riesgos o Gestión de Riesgos empresariales.
Definición de riesgo
Para efectos de este artículo, entenderemos un riesgo de acuerdo con la definición proporcionada en la cláusula 3.9 de la norma ISO 27005:2011 Information Security Risk Management, y la cláusula 2.1 de la norma ISO 31000:2009 Risk Management, Principles and guidelines:
“El riesgo es el efecto de la incertidumbre en los objetivos”
Esta definición nos obliga a definir también otros componentes de la misma como sigue, y de acuerdo con las normas mencionadas:
· El “efecto” se define como una desviación de un resultado esperado, pudiendo ser este positivo (que puede considerarse como una oportunidad) o negativo (que como mencionamos, es lo que en la vida diaria se identifica como riesgo)
· “Incertidumbre” es el estado, aun parcial, de falta de información relacionada con el entendimiento o conocimiento de un evento, sus consecuencias o su probabilidad de ocurrencia.
· Los “Objetivos”, dentro de una organización, puede referirse a distintos aspectos, dependiendo del contexto: pueden ser financieros, de salud y seguridad, ambientales, etc., y asimismo, pueden aplicar a diferentes niveles, como puede ser: estratégico, por producto, por proceso, por proyecto, etc.
De acuerdo con las normas internacionales, ISO 27005 e ISO 31000, podemos identificar las siguientes etapas principales dentro del proceso general de Gestión de Riesgos:
· La identificación de los riesgos,
· El análisis de los riesgos,
· La evaluación del riesgo,
· Tratamiento del riesgo.
A continuación, describiremos de manera sencilla estas 4 etapas del proceso de Gestión de Riesgos y lo que debe considerarse en ellas.
Etapas del proceso de Gestión de riesgos.
Identificación de los riesgos
Para poder gestionar un riesgo, es necesario caracterizarlo de la manera más precisa posible, en el entendido que el éxito del proceso de gestión del riesgo, dependerá de que se identifique el evento no deseado correcto, así como el efecto negativo que se desea evitar al gestionar el riesgo. Para la identificación de riesgos, puede aplicarse metodologías analíticas que permitan aproximarse de forma más precisa a la caracterización del riesgo. Para seleccionar la técnica adecuada para esta identificación de riesgos, podrían considerarse factores como la complejidad del proceso de negocio para el que se aplicará el proceso de Gestión de Riesgos, o la cantidad de personas involucradas en el mismo, así como el conocimiento que se tenga sobre todos los aspectos del proceso o procesos para los que se están identificando los riesgos. Por ejemplo, una técnica utilizada para esta identificación de riesgos, son las sesiones de tormenta de ideas, en donde a través de sesiones con equipos de trabajo y un facilitador, es posible detallar para cada una de las actividades que conforman un proceso, cuáles son los riesgos a los que están expuestas y determinar en conjunto si se trata efectivamente de un riesgo o no, para proceder con las demás fases del análisis. También pueden usarse técnicas más estructuradas como el método Delphi, en el que a base de interacciones entre expertos a través de un cuestionario se llega a un consenso, o puede simplemente basarse en estadísticas e información histórica para los procesos analizados. Dentro de la norma ISO 31000, se ha desarrollado un documento adicional, que es el ISO 31010: 2009 Risk Management — Risk Assessment techniques, el cual provee una guía para la selección y aplicación de técnicas sistemáticas para el análisis de riesgos.
Es importante mencionar que, para la correcta identificación de los riesgos, deben identificarse también tanto las amenazas que existen en el entorno, como las vulnerabilidades que esas amenazas podrían aprovechar para la materialización de un riesgo. La amenaza es el agente que en realidad materializa el riesgo, por ejemplo, una amenaza puede ser el robo de equipo de cómputo, mientras el riesgo relacionado puede considerarse dependiendo del impacto: podría ser solo la pérdida financiera por la necesidad de reponer los equipos robados, que podría estar más relacionado con un riesgo para el área de tecnología de información; o podría estar involucrada la pérdida en mercado, contratos o credibilidad de la organización, si el equipo robado contiene información confidencial sobre la empresa o productos en desarrollo, que podría revelarse de manera inapropiada. Como puede verse, los riesgos pueden identificarse al considerarse diferentes aspectos de la actividad de negocio, y esta es la razón por la que en el ejercicio de identificación de riesgos, es importante que participen todas las personas relevantes, que puedan aportar a la identificación correcta de los riesgos. En la práctica, se tiende a confundir la amenaza con el riesgo, por lo que es muy importante que la técnica de identificación de riesgos que se utilice apoye para la correcta determinación de estos elementos.
Por otro lado, la vulnerabilidad, es una debilidad en el entorno o en un proceso, que puede ser aprovechada por una amenaza, que ocasionará la materialización de un riesgo. En el ejemplo anterior, para la amenaza de robo de equipo, la vulnerabilidad podría ser que el equipo está en un lugar sin vigilancia, de donde es sencillo extraerlo sin pasar por ningún control de acceso.
Análisis de riesgos
El análisis de riesgos comprende la determinación, para cada uno de los riesgos identificados, de dos elementos principales: la probabilidad de ocurrencia del evento no deseado que nos llevará a la materialización del riesgo (la cual debe considerar la o las vulnerabilidades existentes), así como el impacto que dicho riesgo tendrá en el proceso al cual está ligado.
Este análisis de riesgos puede realizarse según dos aproximaciones principales: análisis cualitativo y análisis cuantitativo. En ambos casos, como se mencionó, se consideran las dimensiones de probabilidad e impacto para la determinación del nivel de riesgo. Sin embargo, dependiendo del tipo de análisis (cualitativo o cuantitativo), la dimensión del impacto se medirá de manera diferente, según se describe a continuación. En el caso de la probabilidad de ocurrencia, estamos hablando simplemente de una caracterización de la frecuencia con la que un evento determinado puede ocurrir.
Cuando el tipo de análisis que estamos haciendo es cualitativo, se utilizan escalas predefinidas con ciertos niveles que nos permitan entender de manera general, la afectación en el impacto o la probabilidad de ocurrencia de un determinado evento. Por ejemplo, para el caso de la probabilidad de ocurrencia (o frecuencia) podemos tener una escala cualitativa que nos diga:
· El evento puede ocurrir menos de 2 veces por semestre
· El evento puede ocurrir al menos 2 veces por mes
· El evento puede ocurrir 1 vez por semana
· El evento puede ocurrir una vez cada 2 años.
La determinación de los niveles de la escala dependerá de las características de los procesos de negocio evaluados.
En el caso del impacto, es común utilizar una escala de 3 a 5 niveles (aunque pueden ser más), que indique por ejemplo:
· Impacto alto,
· Impacto medio
· Impacto bajo
Para la determinación del nivel de riesgo, a cada uno de los niveles definidos para frecuencia e impacto, se le da una ponderación, normalmente a manera de tabla y rangos, también cualitativos. Por ejemplo, un evento que ocurre cada 2 años y que tiene un impacto bajo, podría considerarse un nivel de riesgo bajo.
Finalmente, la escala cualitativa de riesgos contendrá también distintos niveles de acuerdo con las necesidades de la organización. Por ejemplo, una escala cualitativa de riesgos puede ser:
· Riesgo bajo
· Riesgo medio
· Riesgo alto
A continuación, un ejemplo de una matriz de probabilidades e impactos para determinar cualitativamente un riesgo:
Impacto
Frecuencia
Impacto bajo
Impacto medio
Impacto alto
Una vez cada 2 años
Riesgo bajo
Riesgo bajo
Riesgo medio
2 veces por semestre
Riesgo bajo
Riesgo medio
Riesgo medio
2 veces por mes
Riesgo medio
Riesgo medio
Riesgo alto
1 vez por semana
Riesgo medio
Riesgo alto
Riesgo alto
Como puede verse, con una matriz de este tipo, es sencillo identificar a golpe de vista en un análisis cualitativo, los niveles de riesgo relacionados con un riesgo que ha sido identificado, en razón de su probabilidad de ocurrencia y su impacto.
En el caso del análisis cuantitativo, el proceso es similar, pero las mediciones de frecuencia, impacto, y finalmente de riesgo, se dan a través de un número, que tendrán un significado específico dentro del proceso de negocio que se está evaluando. En el caso de la probabilidad de ocurrencia (o frecuencia) normalmente se utiliza un porcentaje, mientras que para el impacto, se le pueden asignar niveles o bandas dependiendo de características específicas del proceso a evaluar, pero típicamente relacionadas con un valor numérico (por ejemplo, pérdidas por exposición al riesgo). En este tipo de análisis, para la dimensión de impacto, es muy común que se utilicen montos monetarios.
Finalmente, para el análisis cuantitativo, el nivel de riesgo también estará dado por montos monetarios, típicamente agrupados en bandas de afectación, por ejemplo, riesgos que implican pérdidas de menos de 10 mil dólares, riesgos entre 10 mil y 50 mil dólares, etc.
Es importante mencionar, que ya sea que se utilice el análisis cualitativo o el análisis cuantitativo, para la determinación del impacto y frecuencia adecuados, es necesario considerar en el análisis la existencia de controles, que pueden modificar ya sea la frecuencia, o el impacto, o ambos, modificando así, el nivel de riesgo. Hablaremos a más detalle de los controles en la etapa de Tratamiento de riesgos.
Evaluación de riesgos
Cuando hablamos de las 4 etapas principales de la gestión de riesgos, pasamos por alto de manera intencional una etapa previa, en donde, dentro de una organización, se determinan los límites máximos de aceptación del riesgo, o lo que se conoce como Apetito de riesgo. Básicamente, el apetito de riesgo es el nivel máximo de riesgo que puede aceptarse en una organización, de modo que en la etapa de evaluación de riesgo, se contrasta ese nivel máximo de riesgo aceptable, con los niveles de riesgo encontrados durante la fase de análisis. Hay un término complementario, que es la tolerancia al riesgo, que podría definirse como la máxima desviación o variación aceptable, respecto del apetito de riesgo, para la obtención de un resultado u objetivo específico.
Como resultado de la evaluación de riesgos, se obtiene información que es muy útil al proceso de Gestión de riesgos:
· Primero, se obtiene una vista general del estado que guardan los riesgos identificados en la organización.
· Segundo, es posible establecer prioridades para la gestión de riesgos, dependiendo del nivel de riesgo (etapa de análisis) y del apetito de riesgo (etapa de evaluación)
· Tercero, es posible también determinar el tipo de tratamiento que se le dará al riesgo, dependiendo del nivel de riesgo específico.
Para la evaluación de riesgos, es útil presentar la información de manera que sea fácil evidenciar cual debería ser la prioridad para el tratamiento de los riesgos identificados. Una gráfica muy utilizada es el mapa de calor (Heat Map) el cual permite ver de un solo golpe de vista, el estatus general de los riesgos analizados, agrupados por algún elemento que sea significativo para la organización por ejemplo, área de negocio o unidad de negocio.
A continuación un ejemplo de mapa de calor, que nos muestra el nivel de riesgo (0= riesgo bajo, 5=riesgo crítico) para las unidades de negocio de una organización:
Como puede verse, una gráfica de este tipo permite identificar de manera rápida si el nivel de riesgo se encuentra dentro de los niveles del apetito de riesgo de la organización, permitiendo priorizar el orden de tratamiento.
Tratamiento de riesgos
Cuando ya se ha identificado un nivel de riesgo, y se tiene el resultado de la evaluación del mismo respecto del apetito de riesgo de la empresa, es necesario determinar la mejor manera de mantener el riesgo controlado. Típicamente hay 4 tratamientos de riesgo que se aplican dentro del proceso de gestión de riesgos:
· Aceptación del riesgo
· Evitar el riesgo
· Reducir el riesgo
· Transferir el riesgo.
En el caso de la aceptación del riesgo, cuando el riesgo se materializa, las pérdidas en las que se incurren son aceptables y aunque tienen obviamente una afectación en el proceso de negocio, se considera dentro de los límites de la operación normal. Esto es equivalente a una posición de “sabemos que está pasando, no vamos a realizar acciones adicionales a las ya existentes”. Obviamente, para aceptar un riesgo, se tienen en operación controles específicos que nos aseguran que el riesgo identificado no va a cambiar abruptamente, y por eso, es factible tomar una decisión de aceptación de las pérdidas, en caso de que se realicen. Una de las principales razones por las cuales se considera la aceptación de los riesgos identificados, sin un tratamiento que los controle o reduzca, es porque la aplicación de los controles que se requieren no es posible por alguna razón, o cuando los costos del control identificado son mayores que la reducción del impacto que se desea controlar.
En el caso de que el riesgo no sea aceptable de acuerdo con los niveles establecidos por la organización, se puede utilizar cualquiera de los otros 3 tratamientos restantes:
· Evitar el riesgo: Implica dejar de realizar la actividad que está relacionada con el evento no deseado y por ende, el riesgo relacionado no se presentará.
· Reducir el riesgo: Implica identificar las condiciones bajo las cuales es posible modificar los parámetros de frecuencia o impacto, para reducirlos, y por tanto, reducir el nivel de riesgo resultante. Esta reducción se hace normalmente a través de controles, los cuales actúan sobre uno o los dos parámetros, para modificar el nivel de riesgo resultante. Idealmente, la reducción o mitigación del riesgo, tendrá como objetivo que el nivel de riesgo final este dentro de los parámetros del apetito de riesgo de la organización. Estos controles pueden ser procesos operativos o políticas, que establezcan los pasos a seguir para realizar una actividad o que apoyen a la modificación de un comportamiento; o pueden ser controles de tipo tecnológico, para automatizar una acción que permita reducir el nivel de riesgo considerado.
· Transferir el riesgo: Este tratamiento típicamente implica la contratación de algún tipo de seguro o servicio externo, a través del cual, el riesgo sigue siendo del proceso de negocio gestionado, sin embargo, al materializarse, la responsabilidad por la materialización del riesgo es transferida a una tercera parte, para ser recuperada por medio de un pago (por ejemplo, en el caso de un seguro), o a través de un acuerdo de nivel de servicio (por ejemplo, en el caso de un servicio externo de tercerización).
En la segunda parte de este artículo compartiré un ejemplo sobre gestión de riesgos, para poder analizar las cuatro etapas del proceso de las que acabamos de ver. Los invito a que sigan la serie de artículos que publicaré en un futuro y a que me den sus comentarios.
- JL
