Gestión del riesgo parte I

Introducción

La gestión del riesgo es un proceso que provee a gerencia con el resultado de cumplir los objetivos y la misión del negocio y la necesidad de proteger los bienes de la organización a un coste efectivo. En este periodo actual de escrutinio externo debido a un millar de exigencias legales, el concepto de gestión de riesgo provee a gerencia con la habilidad de demostrar activamente diligencia debida y cómo cumplir su deber fiduciario (cuando una persona debe actuar por otra).

En este artículo trataremos de las preguntas que pueden surgir relacionadas con los elementos clave de la gestión de riesgo.

¿Hay una diferencia entre análisis de riesgos y asesoramiento de riesgos?

La respuesta a esta pregunta es sí. Cuando examinamos el desarrollo del ciclo de los procesos de negocio (DCPN); también conocido como el ciclo de vida del desarrollo de sistemas, vemos que hay fases en que ciertas actividades se programan para ser ejecutadas. En el DCPN que conocemos, la primera fase es el proceso de análisis. Esto se refiere al tiempo en que se crea el caso para un nuevo proyecto. El análisis de riesgo, o Análisis del Impacto del Proyecto (AIP), se usa para demostrar y documentar las razones por las cuales un nuevo proyecto debería ser aprobado.

Una vez que el proyecto ha sido aprobado, en los comienzos de la fase de diseño un asesoramiento de riesgo debe ser completado para identificar las amenazas a los objetivos o misión del negocio presentadas por este nuevo proyecto. El análisis de riesgo permite el desarrollo de un equipo y de la gerencia para identificar potenciales amenazas, priorizar esas amenazas para que sean riesgos, e identificar controles que reduzcan los riesgos a niveles aceptables. Conociendo los controles necesarios en la fase de diseño ayudará a reducir costes cuando el trabajo comience en el proyecto en su construcción o fase de desarrollo.

¿Por qué debemos llevar a cabo un análisis de riesgo?

El análisis de riesgo es un proceso que permite a gerencia demostrar que han cumplido su obligación de diligencia debida cuando están en proceso de tomar una decisión para seguir o descontinuar un nuevo proyecto, inversión de capital, estrategia de inversión u otro proceso de negocios similar.

La diligencia debida tiene un número de definiciones varias basadas en la industria a que pertenece. Típicamente, el consenso sobre estas definiciones se dirige a las medidas de prudencia, actividad o asesoramiento, como es apropiado esperar, y comúnmente ejercido por, una persona prudente y razonable bajo determinadas circunstancias; no se mide por un estándar absoluto sino que depende de los hechos relativos al caso especial.

En resumen, el análisis de riesgo o AIP examina los factores que confluyen cuando se intenta determinar si un proyecto debería ser aprobado. EL AIP examina los impactos tangibles, como el capital necesario, e impactos intangibles, como la connivencia del cliente o adecuación a la normativa vigente.

Cuando completamos el análisis de riesgos, los resultados se presentan a un comité designado para revisar las necesidades del nuevo proyecto y decidir si se va a continuar o no con el proyecto. La documentación se conserva por un período de tiempo y entonces puede ser usada por la organización por si en cualquier momento surgen preguntas sobre por qué un proyecto fue o no fue aprobado.

¿Cuándo una asesoría de riesgo debe ser realizada?

Porque muchas organizaciones desconocen qué amenazas y riesgos operan en el cambiante entorno de negocios, la asesoría de riesgos dota a la organización de un proceso para identificar las amenazas sistemáticamente y después asignarles niveles de riesgo basadas en la organización específica que conduce la asesoría. Estableciendo un nivel de riesgo o una priorización de las amenazas, una organización puede optimizar el uso de sus recursos limitados para suplir su mayor necesidad.

La asesoría de riesgo tiene cuatro entregas clave. Identificará las amenazas a la misión de la organización, priorizar esas amenazas en niveles de riesgo, identificar controles o medidas de seguridad para mitigarlas, y elaborar un plan de acción.

El resultado de los procesos de un análisis de riesgo y de una asesoría de riesgo serán usados por lo general dos veces. Al primera vez cuando se tomen las decisiones; para el análisis de riesgo eso significa decidir si proceder o no con un nuevo proyecto y para la asesoría de riesgo, que tipo de controles o medidas de seguridad deben ser implementadas. Para el análisis de riesgos, el resultado identificara medidas de choque que deberían ser implementadas o que la gerencia ha decidido que la mejor acción es aceptar el riesgo.

La segunda vez que se usarán los resultados será cuando surja un problema y la organización tenga que mostrar los procedimientos que usó para alcanzar las decisiones que alcanzó. La documentación creada en los procesos del análisis de riesgo permitira a la organización mostrar quién estuvo implicado, que se discutió, qué se consideró, y qué decisiones se tomaron.

Un proceso de gestión de riesgos asimismo deja que la empresa tome el control de su propio destino. Con un efectivo proceso de gestión de riesgos implementado, solamente aquellos controles y medidas de seguridad que en este momento necesitan ser implementados. Una empresa nunca se enfrentará de nuevo a tener que implementar un control obligatorio para “cumplir con las necesidades de una auditoría”.