Gestión de riesgos

La gestión de riesgos es la identificación, evaluación y priorización de riesgos (definidos en la norma ISO 31000 como el efecto de la incertidumbre en los objetivos) seguida de la aplicación coordinada y económica de recursos para minimizar, monitorear y controlar la probabilidad o el impacto de eventos desafortunados o para maximizar la realización de oportunidades.

Los riesgos pueden provenir de varias fuentes, incluida la incertidumbre en los mercados internacionales, las amenazas de fallas en los proyectos (en cualquier fase del diseño, desarrollo, producción o sostenimiento de los ciclos de vida), responsabilidades legales, riesgo crediticio, accidentes, causas y desastres naturales, ataque deliberado de un adversario, o eventos de causa raíz incierta o impredecible.

Hay dos tipos de eventos, es decir, los eventos negativos se pueden clasificar como riesgos, mientras que los eventos positivos se clasifican como oportunidades. Los estándares de gestión de riesgos han sido desarrollados por varias instituciones, incluido el Instituto de Gestión de Proyectos, el Instituto Nacional de Estándares y Tecnología, sociedades actuariales y estándares ISO. Los métodos, las definiciones y los objetivos varían ampliamente según el método de gestión de riesgos se encuentre en el contexto de la gestión de proyectos, la seguridad, la ingeniería, los procesos industriales, las carteras financieras, las evaluaciones actuariales o la salud y la seguridad públicas. Ciertos estándares de gestión de riesgos han sido criticados por no tener una mejora medible en el riesgo, mientras que la confianza en las estimaciones y decisiones parece aumentar.

Las estrategias para manejar las amenazas (incertidumbres con consecuencias negativas) generalmente incluyen evitar la amenaza, reducir el efecto negativo o la probabilidad de la amenaza, transferir toda o parte de la amenaza a otra parte e incluso retener algunas o todas las consecuencias potenciales o reales de la amenaza. una amenaza particular. Lo contrario de estas estrategias se puede utilizar para responder a oportunidades (estados futuros inciertos con beneficios).

Como función profesional, un administrador de riesgos "supervisará el programa integral de gestión de riesgos y seguros de la organización, evaluando e identificando los riesgos que podrían impedir la reputación, la seguridad o el éxito financiero de la organización", y luego desarrollará planes para minimizar y / o mitigar cualquier resultado financiero negativo. Los analistas de riesgos respaldan el aspecto técnico del enfoque de gestión de riesgos de la organización: una vez que se compilan y evalúan los datos de riesgos, los analistas comparten sus hallazgos con sus gerentes, quienes usan esos conocimientos para decidir entre posibles soluciones. Véase también Director de riesgos, auditoría interna y Gestión de riesgos financieros § Finanzas corporativas.

Introducción

La gestión de riesgos aparece en la literatura científica y de gestión desde la década de 1920. Se convirtió en una ciencia formal en la década de 1950, cuando los artículos y libros con "gestión de riesgos" en el título también aparecen en las búsquedas de bibliotecas. La mayor parte de la investigación estuvo inicialmente relacionada con las finanzas y los seguros.

Un vocabulario ampliamente utilizado para la gestión de riesgos se define en la Guía ISO 73:2009, "Gestión de riesgos. Vocabulario".

En la gestión ideal de riesgos se sigue un proceso de priorización en el que se gestionan primero los riesgos de mayor pérdida (o impacto) y mayor probabilidad de ocurrencia. Los riesgos con menor probabilidad de ocurrencia y menor pérdida se manejan en orden descendente. En la práctica, el proceso de evaluación del riesgo general puede ser difícil, y el equilibrio de los recursos utilizados para mitigar entre riesgos con una alta probabilidad de ocurrencia pero menor pérdida, versus un riesgo con alta pérdida pero menor probabilidad de ocurrencia a menudo puede ser mal manejado.

La gestión de riesgos intangibles identifica un nuevo tipo de riesgo que tiene un 100% de probabilidad de ocurrir pero que la organización ignora debido a la falta de capacidad de identificación. Por ejemplo, cuando se aplica un conocimiento deficiente a una situación, se materializa un riesgo de conocimiento. El riesgo de relación aparece cuando se produce una colaboración ineficaz. El riesgo de participación en el proceso puede ser un problema cuando se aplican procedimientos operativos ineficaces. Estos riesgos reducen directamente la productividad de los trabajadores del conocimiento, disminuyen la rentabilidad, la rentabilidad, el servicio, la calidad, la reputación, el valor de la marca y la calidad de las ganancias. La gestión de riesgos intangibles permite que la gestión de riesgos cree valor inmediato a partir de la identificación y reducción de riesgos que reducen la productividad.

El costo de oportunidad representa un desafío único para los administradores de riesgos. Puede ser difícil determinar cuándo destinar recursos a la gestión de riesgos y cuándo utilizar esos recursos en otros lugares. Una vez más, la gestión de riesgos ideal minimiza el gasto (o la mano de obra u otros recursos) y también minimiza los efectos negativos de los riesgos.

El riesgo se define como la posibilidad de que ocurra un evento que afecte adversamente el logro de un objetivo. La incertidumbre, por lo tanto, es un aspecto clave del riesgo. Los sistemas como el Comité de Organizaciones Patrocinadoras de la Gestión de Riesgos Empresariales de la Comisión Treadway (COSO ERM) pueden ayudar a los gerentes a mitigar los factores de riesgo. Cada empresa puede tener diferentes componentes de control interno, lo que conduce a diferentes resultados. Por ejemplo, el marco para los componentes de ERM incluye el entorno interno, el establecimiento de objetivos, la identificación de eventos, la evaluación de riesgos, la respuesta a los riesgos, las actividades de control, la información y la comunicación y el seguimiento.

Riesgos frente a oportunidades

Las oportunidades aparecen por primera vez en investigaciones académicas o libros de gestión en la década de 1990. El primer borrador del Cuerpo de conocimientos de gestión de proyectos del PMBoK de 1987 no menciona oportunidades en absoluto.

La escuela moderna de gestión de proyectos reconoce la importancia de las oportunidades. Las oportunidades se han incluido en la literatura de gestión de proyectos desde la década de 1990, por ejemplo, en PMBoK, y se convirtieron en una parte importante de la gestión de riesgos de proyectos en los años 2000, cuando los artículos titulados "gestión de oportunidades" también comenzaron a aparecer en las búsquedas de bibliotecas. La gestión de oportunidades se convirtió así en una parte importante de la gestión de riesgos.

La teoría moderna de gestión de riesgos se ocupa de cualquier tipo de eventos externos, positivos y negativos. Los riesgos positivos se denominan oportunidades. Al igual que los riesgos, las oportunidades tienen estrategias de mitigación específicas: explotar, compartir, mejorar, ignorar.

En la práctica, los riesgos se consideran “normalmente negativos”. La investigación y la práctica relacionadas con el riesgo se centran significativamente más en las amenazas que en las oportunidades. Esto puede conducir a fenómenos negativos como la fijación de objetivos.

Método

En su mayor parte, estos métodos constan de los siguientes elementos, realizados, más o menos, en el siguiente orden:

1. Identificar las amenazas
2. Evaluar la vulnerabilidad de los activos críticos frente a amenazas específicas
3. Determinar el riesgo (es decir, la probabilidad esperada y las consecuencias de tipos específicos de ataques a activos específicos)
4. Identificar formas de reducir esos riesgos.
5. Priorizar las medidas de reducción de riesgos

El área de conocimiento de gestión de riesgos, tal como lo define el Project Management Body of Knowledge PMBoK, consta de los siguientes procesos:

1. Planificar la gestión de riesgos: definir cómo llevar a cabo las actividades de gestión de riesgos.
2. Identificar riesgos: identificar riesgos de proyectos individuales, así como fuentes.
3. Realice un análisis cualitativo de riesgos: priorice los riesgos de proyectos individuales mediante la evaluación de la probabilidad y el impacto.
4. Realizar Análisis Cuantitativo de Riesgos - análisis numérico de los efectos.
5. Planificar las respuestas a los riesgos: desarrollo de opciones, selección de estrategias y acciones.
6. Implementar respuestas al riesgo: implementar planes de respuesta al riesgo acordados. En la 4ª Ed. de PMBoK, este proceso se incluyó como una actividad en el proceso de Monitoreo y Control, pero luego se separó como un proceso distinto en PMBoK 6th Ed.
7. Monitorear Riesgos - monitorear la implementación. Este proceso era conocido como Monitoreo y Control en el PMBoK anterior 4ta Ed., cuando también incluía el proceso “ Implementar Respuestas al Riesgo ”.

Principios

La Organización Internacional de Normalización (ISO) identifica los siguientes principios de gestión de riesgos:

La gestión de riesgos debería:

• Crear valor: los recursos gastados para mitigar el riesgo deben ser menores que la consecuencia de la inacción
• Ser parte integral de los procesos organizacionales.
• Ser parte del proceso de toma de decisiones
• Abordar explícitamente la incertidumbre y las suposiciones
• Ser un proceso sistemático y estructurado.
• Estar basado en la mejor información disponible.
• Sea adaptable
• Tener en cuenta los factores humanos
• Sea transparente e inclusivo
• Sea dinámico, iterativo y receptivo al cambio.
• Ser capaz de mejorar y mejorar continuamente
• Ser continuamente o periódicamente reevaluado

Riesgo leve versus salvaje

Benoit Mandelbrot distinguió entre riesgo "leve" y "salvaje" y argumentó que la evaluación y gestión del riesgo debe ser fundamentalmente diferente para los dos tipos de riesgo.El riesgo leve sigue distribuciones de probabilidad normales o casi normales, está sujeto a la regresión a la media y la ley de los grandes números y, por lo tanto, es relativamente predecible. El riesgo salvaje sigue distribuciones de cola gorda, por ejemplo, distribuciones de ley de potencia o de Pareto, está sujeto a regresión a la cola (media infinita o varianza, lo que hace que la ley de los grandes números sea inválida o ineficaz) y, por lo tanto, es difícil o imposible de predecir. Un error común en la evaluación y gestión de riesgos es subestimar la naturaleza salvaje del riesgo, asumiendo que el riesgo es leve cuando en realidad es salvaje, lo que debe evitarse para que la evaluación y gestión de riesgos sean válidas y confiables, según Mandelbrot.

Proceso

De acuerdo con la norma ISO 31000 - "Gestión de riesgos - Principios y directrices sobre la implementación", el proceso de gestión de riesgos consta de varios pasos, como se indica a continuación:

Establecer el contexto

Esto involucra:

1. observando el contexto
   • el alcance social de la gestión de riesgos
   • la identidad y los objetivos de las partes interesadas
   • la base sobre la cual se evaluarán los riesgos, las restricciones.
2. definiendo un marco para la actividad y una agenda para la identificación
3. desarrollar un análisis de los riesgos involucrados en el proceso
4. mitigación o solución de riesgos utilizando los recursos tecnológicos, humanos y organizacionales disponibles

Identificación

Después de establecer el contexto, el siguiente paso en el proceso de gestión de riesgos es identificar los riesgos potenciales. Los riesgos se refieren a eventos que, cuando se desencadenan, causan problemas o beneficios. Por tanto, la identificación del riesgo puede partir del origen de los problemas y de los competidores (beneficio), o de las consecuencias del problema.

• Análisis de fuente: las fuentes de riesgo pueden ser internas o externas al sistema que es el objetivo de la gestión de riesgos (utilice la mitigación en lugar de la gestión ya que, por su propia definición, el riesgo trata con factores de toma de decisiones que no se pueden gestionar).

Algunos ejemplos de fuentes de riesgo son: las partes interesadas de un proyecto, los empleados de una empresa o el clima sobre un aeropuerto.

• Análisis de problemas: los riesgos están relacionados con las amenazas identificadas. Por ejemplo: la amenaza de perder dinero, la amenaza de abuso de información confidencial o la amenaza de errores humanos, accidentes y bajas. Las amenazas pueden existir con varias entidades, la más importante con accionistas, clientes y cuerpos legislativos como el gobierno.

Cuando se conoce la fuente o el problema, se pueden investigar los eventos que una fuente puede desencadenar o los eventos que pueden conducir a un problema. Por ejemplo: las partes interesadas que se retiran durante un proyecto pueden poner en peligro la financiación del proyecto; los empleados pueden robar información confidencial incluso dentro de una red cerrada; los rayos que caen sobre una aeronave durante el despegue pueden causar bajas inmediatas a todas las personas a bordo.

El método elegido para identificar los riesgos puede depender de la cultura, la práctica de la industria y el cumplimiento. Los métodos de identificación están formados por plantillas o el desarrollo de plantillas para identificar fuente, problema o evento. Los métodos comunes de identificación de riesgos son:

• Identificación de riesgos basada en objetivos: las organizaciones y los equipos de proyecto tienen objetivos. Se identifica como riesgo cualquier evento que pueda impedir la consecución de un objetivo.
• Identificación de riesgos basada en escenarios: en el análisis de escenarios se crean diferentes escenarios. Los escenarios pueden ser formas alternativas de lograr un objetivo o un análisis de la interacción de fuerzas en, por ejemplo, un mercado o una batalla. Cualquier evento que desencadene un escenario alternativo no deseado se identifica como riesgo; consulte Estudios de futuros para conocer la metodología utilizada por los futuristas.
• Identificación de riesgos basada en taxonomía: la taxonomía en la identificación de riesgos basada en taxonomía es un desglose de las posibles fuentes de riesgo. Con base en la taxonomía y el conocimiento de las mejores prácticas, se compila un cuestionario. Las respuestas a las preguntas revelan riesgos.
• Comprobación de riesgos comunes: en varias industrias, hay listas disponibles con riesgos conocidos. Cada riesgo en la lista se puede verificar para su aplicación a una situación particular.
• Gráficos de riesgo: este método combina los enfoques anteriores al enumerar los recursos en riesgo, las amenazas a esos recursos, la modificación de los factores que pueden aumentar o disminuir el riesgo y las consecuencias que se desea evitar. La creación de una matriz bajo estos encabezados permite una variedad de enfoques. Uno puede comenzar con los recursos y considerar las amenazas a las que están expuestos y las consecuencias de cada una. Alternativamente, se puede comenzar con las amenazas y examinar qué recursos afectarían, o se puede comenzar con las consecuencias y determinar qué combinación de amenazas y recursos estarían involucradas para provocarlas.

Evaluación

Una vez que los riesgos han sido identificados, deben evaluarse en cuanto a su potencial severidad del impacto (generalmente un impacto negativo, como daño o pérdida) y la probabilidad de ocurrencia. Estas cantidades pueden ser simples de medir, en el caso del valor de un edificio perdido, o imposibles de saber con certeza en el caso de un evento improbable, cuya probabilidad de ocurrencia se desconoce. Por lo tanto, en el proceso de evaluación es fundamental tomar las decisiones mejor informadas para priorizar adecuadamente la implementación del plan de gestión de riesgos.

Incluso una mejora positiva a corto plazo puede tener impactos negativos a largo plazo. Tome el ejemplo de la "autopista de peaje". Una carretera se ensancha para permitir más tráfico. Más capacidad de tráfico conduce a un mayor desarrollo en las áreas que rodean la capacidad de tráfico mejorada. Con el tiempo, el tráfico aumenta para llenar la capacidad disponible. Por lo tanto, las autopistas de peaje deben expandirse en ciclos aparentemente interminables. Hay muchos otros ejemplos de ingeniería en los que la capacidad ampliada (para realizar cualquier función) pronto se llena con el aumento de la demanda. Dado que la expansión tiene un costo, el crecimiento resultante podría volverse insostenible sin previsión y gestión.

La dificultad fundamental en la evaluación del riesgo es determinar la tasa de ocurrencia ya que no se dispone de información estadística sobre todo tipo de incidentes pasados ​​y es particularmente escasa en el caso de eventos catastróficos, simplemente por su poca frecuencia. Además, evaluar la gravedad de las consecuencias (impacto) suele ser bastante difícil para los activos intangibles. La valoración de activos es otra cuestión que debe abordarse. Por lo tanto, las opiniones mejor educadas y las estadísticas disponibles son las principales fuentes de información. Sin embargo, la evaluación de riesgos debe producir tal información para los altos ejecutivos de la organización que los riesgos primarios sean fáciles de entender y que las decisiones de gestión de riesgos puedan priorizarse dentro de los objetivos generales de la empresa. Así, ha habido varias teorías e intentos de cuantificar los riesgos.

Opciones de riesgo

Las medidas de mitigación de riesgos generalmente se formulan de acuerdo con una o más de las siguientes opciones principales de riesgo, que son:

1. Diseñe un nuevo proceso comercial con medidas adecuadas de contención y control de riesgos incorporadas desde el principio.
2. Reevaluar periódicamente los riesgos que se aceptan en los procesos en curso como una característica normal de las operaciones comerciales y modificar las medidas de mitigación.
3. Transferir riesgos a una agencia externa (por ejemplo, una compañía de seguros)
4. Evite los riesgos por completo (por ejemplo, cerrando un área comercial particular de alto riesgo)

Investigaciones posteriores han demostrado que los beneficios financieros de la gestión de riesgos dependen menos de la fórmula utilizada, pero dependen más de la frecuencia y la forma en que se realiza la evaluación de riesgos.

En los negocios, es imperativo poder presentar los resultados de las evaluaciones de riesgo en términos financieros, de mercado o de cronograma. Robert Courtney Jr. (IBM, 1970) propuso una fórmula para presentar los riesgos en términos financieros. La fórmula de Courtney fue aceptada como el método oficial de análisis de riesgos para las agencias gubernamentales de EE. UU. La fórmula propone el cálculo de ALE (expectativa de pérdida anualizada) y compara el valor de pérdida esperado con los costos de implementación del control de seguridad (análisis de costo-beneficio).

Tratamientos de riesgo potencial

Una vez que los riesgos han sido identificados y evaluados, todas las técnicas para manejar el riesgo caen en una o más de estas cuatro categorías principales:

• Evitación (eliminar, retirarse o no involucrarse)
• Reducción (optimizar – mitigar)
• Compartir (transferir – subcontratar o asegurar)
• Retención (aceptar y presupuestar)

El uso ideal de estas estrategias de control de riesgos puede no ser posible. Algunos de ellos pueden implicar compensaciones que no son aceptables para la organización o la persona que toma las decisiones de gestión de riesgos. Otra fuente, del Departamento de Defensa de EE. UU. (ver enlace), Defense Acquisition University, llama a estas categorías ACAT, por Evitar, Controlar, Aceptar o Transferir. Este uso del acrónimo ACAT recuerda a otro ACAT (Categoría de Adquisición) utilizado en las adquisiciones de la industria de Defensa de EE. UU., en las que la Gestión de Riesgos ocupa un lugar destacado en la toma de decisiones y la planificación.

Al igual que los riesgos, las oportunidades tienen estrategias de mitigación específicas: explotar, compartir, mejorar, ignorar.

Evitación de riesgo

Esto incluye no realizar una actividad que pueda presentar riesgo. Negarse a comprar una propiedad o negocio para evitar la responsabilidad legal es uno de esos ejemplos. Evitar los vuelos de avión por miedo al secuestro. Evitar puede parecer la respuesta a todos los riesgos, pero evitar riesgos también significa perder la ganancia potencial que podría haber permitido aceptar (retener) el riesgo. No entrar en un negocio para evitar el riesgo de pérdida también evita la posibilidad de obtener ganancias. El aumento de la regulación del riesgo en los hospitales ha llevado a evitar el tratamiento de condiciones de mayor riesgo, a favor de los pacientes que presentan un riesgo menor.

La reducción de riesgos

La reducción del riesgo u "optimización" implica reducir la gravedad de la pérdida o la probabilidad de que ocurra la pérdida. Por ejemplo, los rociadores están diseñados para apagar un incendio y reducir el riesgo de pérdida por incendio. Este método puede causar una mayor pérdida por daños causados ​​por el agua y, por lo tanto, puede no ser adecuado. Los sistemas de supresión de incendios con halones pueden mitigar ese riesgo, pero el costo puede ser prohibitivo como estrategia.

Reconociendo que los riesgos pueden ser positivos o negativos, optimizar los riesgos significa encontrar un equilibrio entre el riesgo negativo y el beneficio de la operación o actividad; y entre la reducción del riesgo y el esfuerzo aplicado. Mediante la aplicación eficaz de los estándares de gestión de salud, seguridad y medio ambiente (HSE), las organizaciones pueden alcanzar niveles tolerables de riesgo residual.

Las metodologías modernas de desarrollo de software reducen el riesgo al desarrollar y entregar software de forma incremental. Las primeras metodologías sufrieron por el hecho de que solo entregaban software en la fase final de desarrollo; cualquier problema encontrado en las fases anteriores significaba una costosa reelaboración y, a menudo, ponía en peligro todo el proyecto. Al desarrollarse en iteraciones, los proyectos de software pueden limitar el esfuerzo desperdiciado a una sola iteración.

La subcontratación podría ser un ejemplo de estrategia de riesgo compartido si el subcontratista puede demostrar una mayor capacidad para administrar o reducir los riesgos.Por ejemplo, una empresa puede subcontratar solo su desarrollo de software, la fabricación de bienes duraderos o las necesidades de atención al cliente a otra empresa, mientras se encarga de la gestión comercial. De esta manera, la empresa puede concentrarse más en el desarrollo del negocio sin tener que preocuparse tanto por el proceso de fabricación, la gestión del equipo de desarrollo o la búsqueda de una ubicación física para un centro. Además, la implantación de controles también puede ser una opción para reducir el riesgo. Controles que detectan las causas de eventos no deseados antes de las consecuencias que ocurren durante el uso del producto, o la detección de las causas raíz de fallas no deseadas que el equipo puede evitar. Los controles pueden centrarse en la gestión o en los procesos de toma de decisiones. Todo esto puede ayudar a tomar mejores decisiones con respecto al riesgo.

Riesgo compartido

Definido brevemente como "compartir con otra parte la carga de la pérdida o el beneficio de la ganancia, de un riesgo, y las medidas para reducir un riesgo".

El término 'transferencia de riesgos' se usa a menudo en lugar de riesgo compartido en la creencia errónea de que puede transferir un riesgo a un tercero a través de seguros o subcontratación. En la práctica, si la compañía de seguros o el contratista quiebran o terminan en los tribunales, es probable que el riesgo original revierta a la primera parte. Como tal, en la terminología de profesionales y académicos por igual, la compra de un contrato de seguro a menudo se describe como una "transferencia de riesgo". Sin embargo, técnicamente hablando, el comprador del contrato generalmente retiene la responsabilidad legal por las pérdidas "transferidas", lo que significa que el seguro puede describirse con mayor precisión como un mecanismo de compensación posterior al evento. Por ejemplo, una póliza de seguro de lesiones personales no transfiere el riesgo de un accidente automovilístico a la compañía de seguros. El riesgo aún recae en el titular de la póliza, es decir, la persona que ha estado en el accidente. La póliza de seguro simplemente establece que si ocurre un accidente (el evento) que involucra al titular de la póliza, entonces se le puede pagar alguna compensación al titular de la póliza que sea proporcional al sufrimiento/daño.

Los métodos de gestión del riesgo se dividen en múltiples categorías. Los fondos de retención de riesgos técnicamente retienen el riesgo para el grupo, pero distribuirlo entre todo el grupo implica la transferencia entre los miembros individuales del grupo. Esto es diferente del seguro tradicional, en el que no se intercambian primas entre los miembros del grupo por adelantado, sino que las pérdidas se evalúan para todos los miembros del grupo.

Retención de riesgo

La retención de riesgos implica aceptar la pérdida, o el beneficio de la ganancia, de un riesgo cuando ocurre el incidente. El verdadero autoseguro cae en esta categoría. La retención de riesgos es una estrategia viable para riesgos pequeños en los que el costo de asegurarse contra el riesgo sería mayor con el tiempo que las pérdidas totales sufridas. Todos los riesgos que no se evitan o transfieren se retienen por defecto. Esto incluye riesgos que son tan grandes o catastróficos que no se pueden asegurar o las primas serían inviables. La guerra es un ejemplo, ya que la mayoría de los bienes y riesgos no están asegurados contra la guerra, por lo que el asegurado retiene la pérdida atribuida a la guerra. También cualquier cantidad de pérdida potencial (riesgo) por encima de la cantidad asegurada es riesgo retenido.

Plan de gestión de Riesgos

Seleccione los controles o contramedidas apropiados para mitigar cada riesgo. La mitigación de riesgos debe ser aprobada por el nivel apropiado de gestión. Por ejemplo, un riesgo relacionado con la imagen de la organización debería estar respaldado por una decisión de la alta dirección, mientras que la gestión de TI tendría la autoridad para decidir sobre los riesgos de virus informáticos.

El plan de gestión de riesgos debe proponer controles de seguridad aplicables y eficaces para gestionar los riesgos. Por ejemplo, un alto riesgo observado de virus informáticos podría mitigarse adquiriendo e implementando software antivirus. Un buen plan de gestión de riesgos debe contener un cronograma para la implementación del control y las personas responsables de esas acciones.

De acuerdo con la norma ISO/IEC 27001, la etapa inmediatamente posterior a la finalización de la fase de evaluación de riesgos consiste en elaborar un Plan de Tratamiento de Riesgos, que debe documentar las decisiones sobre cómo se debe manejar cada uno de los riesgos identificados. La mitigación de riesgos a menudo significa la selección de controles de seguridad, que deben documentarse en una Declaración de aplicabilidad, que identifica qué objetivos de control particulares y controles del estándar se seleccionaron y por qué.

Implementación

La implementación sigue todos los métodos previstos para mitigar el efecto de los riesgos. Contratar pólizas de seguro para los riesgos que se haya decidido traspasar a una aseguradora, evitar todos los riesgos que se puedan evitar sin sacrificar los objetivos de la entidad, reducir otros y retener el resto.

Revisión y evaluación del plan

Los planes iniciales de gestión de riesgos nunca serán perfectos. La práctica, la experiencia y los resultados de pérdidas reales requerirán cambios en el plan y contribuirán con información para permitir que se tomen posibles decisiones diferentes al tratar con los riesgos que se enfrentan.

Los resultados del análisis de riesgos y los planes de gestión deben actualizarse periódicamente. Hay dos razones principales para esto:

1. para evaluar si los controles de seguridad previamente seleccionados siguen siendo aplicables y efectivos
2. para evaluar los posibles cambios en el nivel de riesgo en el entorno empresarial. Por ejemplo, los riesgos de la información son un buen ejemplo de un entorno empresarial que cambia rápidamente.

Limitaciones

Dar demasiada prioridad a los procesos de gestión de riesgos podría impedir que una organización complete un proyecto o incluso que comience. Esto es especialmente cierto si se suspende otro trabajo hasta que el proceso de gestión de riesgos se considere completo.

También es importante tener en cuenta la distinción entre riesgo e incertidumbre. El riesgo se puede medir por impactos × probabilidad.

Si los riesgos se evalúan y priorizan incorrectamente, se puede perder tiempo tratando con el riesgo de pérdidas que no es probable que ocurran. Debe evitarse pasar demasiado tiempo evaluando y gestionando riesgos improbables. Los eventos improbables ocurren, pero si el riesgo es lo suficientemente improbable, puede ser mejor simplemente retener el riesgo y lidiar con el resultado si la pérdida realmente ocurre. La evaluación cualitativa del riesgo es subjetiva y carece de consistencia. La justificación principal para un proceso de evaluación de riesgos formal es legal y burocrática.

Áreas

Finanzas

Tal como se aplica a las finanzas, la gestión de riesgos se refiere a las técnicas y prácticas para medir, monitorear y controlar el riesgo de mercado, el riesgo crediticio y el riesgo operativo en el balance de una empresa, en la cartera de negociación de un banco o en el valor de la cartera de un administrador de fondos.

• Una medida tradicional en la banca es el valor en riesgo (VaR), la posible pérdida debida a eventos crediticios y de mercado adversos. Los bancos buscan cubrir estos riesgos y mantendrán capital de riesgo en la posición neta. El marco de Basilea III rige los requisitos de capital regulatorio paralelos, incluido el riesgo operativo.
• Los administradores de fondos emplean varias estrategias para proteger el valor de sus fondos; estos dado su mandato y punto de referencia.
• Las empresas no financieras se centran en el riesgo comercial de manera más general: es decir, aquellos eventos y sucesos que podrían afectar negativamente el flujo de efectivo o la rentabilidad y, por lo tanto, dar como resultado una pérdida de valor comercial o una caída en el precio de las acciones.

Tecnologías de la información

En tecnología de la información, la gestión de riesgos incluye el "Manejo de incidentes", un plan de acción para hacer frente a intrusiones, robos cibernéticos, denegación de servicio, incendios, inundaciones y otros eventos relacionados con la seguridad. Según el Instituto SANS, es un proceso de seis pasos: Preparación, Identificación, Contención, Erradicación, Recuperación y Lecciones Aprendidas.

Gestión de riesgos contractuales

El concepto de "gestión de riesgos contractuales" hace hincapié en el uso de técnicas de gestión de riesgos en el despliegue del contrato, es decir, la gestión de los riesgos que se aceptan mediante la celebración de un contrato. El académico noruego Petri Keskitalo define la "gestión de riesgos contractuales" como "un método de contratación práctico, proactivo y sistemático que utiliza la planificación y la gobernanza de contratos para gestionar los riesgos relacionados con las actividades comerciales". En un artículo de Samuel Greengard publicado en 2010, se mencionan dos casos legales estadounidenses que enfatizan la importancia de tener una estrategia para enfrentar el riesgo:

• UDC v. CH2M Hill, que trata sobre el riesgo de un asesor profesional que firma una cláusula de indemnización que incluye la aceptación de un deber de defensa, que puede asumir los costos legales de defender a un cliente sujeto a un reclamo de un tercero,
• Witt v. La Gorce Country Club, que trata sobre la eficacia de una cláusula de limitación de responsabilidad que, en determinadas jurisdicciones, puede resultar ineficaz.

Greengard recomienda utilizar el lenguaje contractual estándar de la industria tanto como sea posible para reducir el riesgo tanto como sea posible y basarse en cláusulas que han estado en uso y sujetas a interpretación judicial establecida durante varios años.

Instituciones de la memoria (museos, bibliotecas y archivos)

Empresa

En la gestión de riesgos empresariales, un riesgo se define como un posible evento o circunstancia que puede tener influencias negativas en la empresa en cuestión. Su impacto puede ser sobre la existencia misma, los recursos (humanos y de capital), los productos y servicios, o los clientes de la empresa, así como impactos externos sobre la sociedad, los mercados o el medio ambiente. En una institución financiera, la gestión del riesgo empresarial normalmente se considera como la combinación de riesgo de crédito, riesgo de tasa de interés o gestión de activos y pasivos, riesgo de liquidez, riesgo de mercado y riesgo operativo.

En el caso más general, cada riesgo probable puede tener un plan pre-formulado para hacer frente a sus posibles consecuencias (para asegurar la contingencia si el riesgo se convierte en un pasivo).

A partir de la información anterior y el costo promedio por empleado a lo largo del tiempo, o la tasa de acumulación de costos, un gerente de proyecto puede estimar:

• el costo asociado con el riesgo si surge, estimado multiplicando los costos de los empleados por unidad de tiempo por el tiempo perdido estimado (impacto del costo, C donde C = relación de acumulación de costos * S).
• el aumento probable en el tiempo asociado con un riesgo (variación del cronograma debido al riesgo, Rs donde Rs = P * S):
  • Ordenar según este valor pone primero los riesgos más altos para la programación. Esto tiene la intención de hacer que los mayores riesgos para el proyecto se intenten primero para que el riesgo se minimice lo más rápido posible.
  • Esto es un poco engañoso ya que las variaciones de programación con una P grande y una S pequeña y viceversa no son equivalentes. (El riesgo de que el RMS Titanic se hunda frente a que las comidas de los pasajeros se sirvan en un momento ligeramente equivocado).
• el aumento probable en el costo asociado con un riesgo (variación del costo debido al riesgo, Rc donde Rc = P*C = P*CAR*S = P*S*CAR)
  • clasificar según este valor pone en primer lugar los riesgos más altos para el presupuesto.
  • vea las preocupaciones sobre la variación del cronograma ya que es una función de la misma, como se ilustra en la ecuación anterior.

El riesgo en un proyecto o proceso puede deberse a una variación por causa especial o a una variación por causa común y requiere un tratamiento adecuado. Eso es para reiterar la preocupación de que los casos extremos no sean equivalentes en la lista inmediatamente anterior.

Seguridad empresarial

ESRM es un enfoque de gestión de programas de seguridad que vincula las actividades de seguridad con la misión y los objetivos comerciales de una empresa a través de métodos de gestión de riesgos. La función del líder de seguridad en ESRM es administrar los riesgos de daños a los activos de la empresa en asociación con los líderes comerciales cuyos activos están expuestos a esos riesgos. ESRM implica educar a los líderes empresariales sobre los impactos realistas de los riesgos identificados, presentar estrategias potenciales para mitigar esos impactos y luego promulgar la opción elegida por la empresa de acuerdo con los niveles aceptados de tolerancia al riesgo comercial.

Dispositivos médicos

Para los dispositivos médicos, la gestión de riesgos es un proceso para identificar, evaluar y mitigar los riesgos asociados con daños a las personas y daños a la propiedad o al medio ambiente. La gestión de riesgos es una parte integral del diseño y desarrollo de dispositivos médicos, los procesos de producción y la evaluación de la experiencia de campo, y es aplicable a todo tipo de dispositivos médicos. La evidencia de su aplicación es requerida por la mayoría de los organismos reguladores como la FDA de EE.UU. La gestión de riesgos para dispositivos médicos está descrita por la Organización Internacional de Normalización (ISO) en ISO 14971:2019, Dispositivos médicos: la aplicación de la gestión de riesgos a los dispositivos médicos, un estándar de seguridad del producto. El estándar proporciona un marco de proceso y requisitos asociados para las responsabilidades de gestión, el análisis y la evaluación de riesgos, los controles de riesgos y la gestión de riesgos del ciclo de vida.

La versión europea del estándar de gestión de riesgos se actualizó en 2009 y nuevamente en 2012 para hacer referencia a la revisión de la Directiva de Dispositivos Médicos (MDD) y la Directiva de Dispositivos Médicos Implantables Activos (AIMDD) en 2007, así como la Directiva de Dispositivos Médicos In Vitro (IVDD).). Los requisitos de EN 14971:2012 son casi idénticos a los de ISO 14971:2007. Las diferencias incluyen tres Anexos Z "(informativos)" que hacen referencia a los nuevos MDD, AIMDD e IVDD. Estos anexos indican desviaciones de contenido que incluyen el requisito de que los riesgos se reduzcan en la medida de lo posible y el requisito de que los riesgos se mitiguen mediante el diseño y no mediante el etiquetado en el dispositivo médico (es decir, el etiquetado ya no se puede utilizar para mitigar el riesgo).

Las técnicas típicas de análisis y evaluación de riesgos adoptadas por la industria de dispositivos médicos incluyen el análisis de peligros, el análisis de árbol de fallas (FTA), el análisis de modos y efectos de fallas (FMEA), el estudio de peligros y operabilidad (HAZOP) y el análisis de trazabilidad de riesgos para garantizar que se implementen los controles de riesgos. y eficaz (es decir, seguimiento de los riesgos identificados para los requisitos del producto, especificaciones de diseño, resultados de verificación y validación, etc.). El análisis FTA requiere un software de diagramación. El análisis FMEA se puede hacer usando un programa de hoja de cálculo. También hay soluciones integradas de gestión de riesgos de dispositivos médicos.

A través de un borrador de guía, la FDA ha introducido otro método llamado "Caso de garantía de seguridad" para el análisis de garantía de seguridad de dispositivos médicos. El caso de garantía de seguridad es un razonamiento de argumento estructurado sobre sistemas apropiados para científicos e ingenieros, respaldado por un cuerpo de evidencia, que proporciona un caso convincente, comprensible y válido de que un sistema es seguro para una aplicación determinada en un entorno determinado. Con la guía, se espera un caso de garantía de seguridad para dispositivos críticos para la seguridad (p. ej., dispositivos de infusión) como parte de la presentación de autorización previa a la comercialización, p. ej., 510(k). En 2013, la FDA presentó otro proyecto de guía que esperaba que los fabricantes de dispositivos médicos presentaran información de análisis de riesgos de ciberseguridad.

Gestión de proyectos

La gestión de riesgos del proyecto debe ser considerada en las diferentes fases de adquisición. Al inicio de un proyecto, el avance de los desarrollos técnicos, o las amenazas presentadas por los proyectos de un competidor, pueden causar una evaluación de riesgos o amenazas y la subsiguiente evaluación de alternativas (ver Análisis de Alternativas). Una vez que se toma una decisión y se inicia el proyecto, se pueden utilizar aplicaciones de gestión de proyectos más familiares:

• Planificación de cómo se gestionará el riesgo en el proyecto en particular. Los planes deben incluir tareas, responsabilidades, actividades y presupuesto de gestión de riesgos.
• Asignar un oficial de riesgo: un miembro del equipo que no sea un gerente de proyecto y que sea responsable de prever posibles problemas del proyecto. La característica típica del oficial de riesgo es un sano escepticismo.
• Mantenimiento de la base de datos de riesgos del proyecto en vivo. Cada riesgo debe tener los siguientes atributos: fecha de apertura, título, breve descripción, probabilidad e importancia. Opcionalmente un riesgo puede tener asignado un responsable de su resolución y una fecha en la cual el riesgo debe ser resuelto.
• Creación de un canal anónimo de denuncia de riesgos. Cada miembro del equipo debe tener la posibilidad de informar los riesgos que prevé en el proyecto.
• Elaborar planes de mitigación de los riesgos que se decidan mitigar. El propósito del plan de mitigación es describir cómo se manejará este riesgo en particular: qué, cuándo, quién lo hará y cómo se hará para evitarlo o minimizar las consecuencias si se convierte en un pasivo.
• Resumir los riesgos planeados y enfrentados, la efectividad de las actividades de mitigación y el esfuerzo dedicado a la gestión de riesgos.

Megaproyectos (infraestructura)

Los megaproyectos (a veces también llamados "programas principales") son proyectos de inversión a gran escala, que normalmente cuestan más de mil millones de dólares por proyecto. Los megaproyectos incluyen grandes puentes, túneles, carreteras, vías férreas, aeropuertos, puertos marítimos, centrales eléctricas, represas, proyectos de aguas residuales, esquemas de protección contra inundaciones costeras, proyectos de extracción de petróleo y gas natural, edificios públicos, sistemas de tecnología de la información, proyectos aeroespaciales y sistemas de defensa. Se ha demostrado que los megaproyectos son particularmente riesgosos en términos de finanzas, seguridad e impactos sociales y ambientales. Por lo tanto, la gestión de riesgos es particularmente pertinente para los megaproyectos y se han desarrollado métodos especiales y educación especial para dicha gestión de riesgos.

Desastres naturales

Es importante evaluar el riesgo con respecto a los desastres naturales como inundaciones, terremotos, etc. Los resultados de la evaluación del riesgo de desastres naturales son valiosos cuando se consideran los costos de reparación futuros, las pérdidas por interrupción del negocio y otros tiempos de inactividad, los efectos sobre el medio ambiente, los costos de seguros y los costos propuestos para reducir el riesgo. El Marco de Sendai para la Reducción del Riesgo de Desastres es un acuerdo internacional de 2015 que ha establecido objetivos y metas para la reducción del riesgo de desastres en respuesta a los desastres naturales. Regularmente se realizan Conferencias Internacionales de Desastres y Riesgos en Davos para tratar la gestión integral del riesgo.

Se pueden usar varias herramientas para evaluar el riesgo y la gestión del riesgo de desastres naturales y otros eventos climáticos, incluido el modelado geoespacial, un componente clave de la ciencia del cambio de la tierra. Este modelado requiere una comprensión de las distribuciones geográficas de las personas, así como la capacidad de calcular la probabilidad de que ocurra un desastre natural.

Desierto

La gestión de los riesgos para las personas y la propiedad en áreas silvestres y áreas naturales remotas se ha desarrollado con el aumento de la participación en actividades recreativas al aire libre y la disminución de la tolerancia social a las pérdidas. Las organizaciones que brindan experiencias comerciales en la naturaleza ahora pueden alinearse con los estándares de consenso nacionales e internacionales para capacitación y equipos, como ANSI/NASBLA 101-2017 (navegación), UIAA 152 (herramientas para escalar en hielo) y la norma europea 13089:2015 + A1:2015 (montañismo). equipo). La Asociación para la Educación Experiencial ofrece acreditación para programas de aventuras en la naturaleza. La Conferencia de Gestión de Riesgos en Áreas Silvestres brinda acceso a las mejores prácticas, y las organizaciones especializadas brindan consultoría y capacitación en gestión de riesgos en áreas silvestres.

En su libro, Educación y liderazgo al aire libre, el escalador, educador al aire libre y autor Ari Schneider, señala que la recreación al aire libre es intrínsecamente riesgosa y no hay forma de eliminar el riesgo. Sin embargo, explica cómo eso puede ser bueno para los programas de educación al aire libre. Según Schneider, la aventura óptima se logra cuando se gestiona el riesgo real y se mantiene el riesgo percibido para mantener bajo el peligro real y alto el sentido de la aventura.

El texto Outdoor Safety - Risk Management for Outdoor Leaders, publicado por el Consejo de Seguridad en las Montañas de Nueva Zelanda, brinda una visión de la gestión de riesgos en la naturaleza desde la perspectiva de Nueva Zelanda, reconociendo el valor de la legislación nacional de seguridad al aire libre y dedicando una atención considerable a las funciones de juicio. y procesos de toma de decisiones en la gestión del riesgo de áreas silvestres.

Uno de los modelos populares para la evaluación de riesgos es el Modelo de evaluación de riesgos y gestión de seguridad (RASM) desarrollado por Rick Curtis, autor de The Backpacker's Field Manual. La fórmula para el Modelo RASM es: Riesgo = Probabilidad de Accidente × Gravedad de las Consecuencias. El modelo RASM sopesa el riesgo negativo, el potencial de pérdida, contra el riesgo positivo, el potencial de crecimiento.

Tecnologías de la información

El riesgo de TI es un riesgo relacionado con la tecnología de la información. Este es un término relativamente nuevo debido a la creciente conciencia de que la seguridad de la información es simplemente una faceta de una multitud de riesgos que son relevantes para TI y los procesos del mundo real que soporta. "La ciberseguridad está estrechamente ligada al avance de la tecnología. Solo se retrasa lo suficiente para que evolucionen incentivos como los mercados negros y se descubran nuevos exploits. No se vislumbra un final para el avance de la tecnología, por lo que podemos esperar lo mismo de la ciberseguridad.."

El marco de TI de riesgos de ISACA vincula el riesgo de TI con la gestión de riesgos empresariales.

El análisis de riesgos del deber de cuidado (DoCRA) evalúa los riesgos y sus salvaguardas y considera los intereses de todas las partes potencialmente afectadas por esos riesgos.

Petróleo y gas natural

Para la industria del petróleo y el gas en alta mar, la gestión del riesgo operativo está regulada por el régimen de caso de seguridad en muchos países. Las herramientas y técnicas de identificación de peligros y evaluación de riesgos se describen en la norma internacional ISO 17776:2000, y organizaciones como la IADC (Asociación Internacional de Contratistas de Perforación) publican pautas para el desarrollo de casos de Salud, Seguridad y Medio Ambiente (HSE) que se basan en el Norma ISO. Además, los reguladores gubernamentales a menudo esperan representaciones esquemáticas de eventos peligrosos como parte de la gestión de riesgos en las presentaciones de casos de seguridad; estos se conocen como diagramas de pajarita (ver Teoría de redes en evaluación de riesgos). La técnica también es utilizada por organizaciones y reguladores en minería, aviación, salud, defensa, industria y finanzas.

Sector farmacéutico

Los principios y herramientas para la gestión de riesgos de calidad se aplican cada vez más a diferentes aspectos de los sistemas de calidad farmacéutica. Estos aspectos incluyen los procesos de desarrollo, fabricación, distribución, inspección y envío/revisión a lo largo del ciclo de vida de las sustancias farmacéuticas, productos farmacéuticos, productos biológicos y biotecnológicos (incluido el uso de materias primas, solventes, excipientes, materiales de envasado y etiquetado en productos farmacéuticos, productos biológicos y biotecnológicos). La gestión de riesgos también se aplica a la evaluación de la contaminación microbiológica en relación con los productos farmacéuticos y los entornos de fabricación de salas limpias.

Comunicación de riesgos

La comunicación de riesgos es un campo académico complejo e interdisciplinario que forma parte de la gestión de riesgos y está relacionado con campos como la comunicación de crisis. El objetivo es asegurarse de que las audiencias objetivo entiendan cómo los riesgos los afectan a ellos o a sus comunidades apelando a sus valores.

La comunicación de riesgos es particularmente importante en la preparación para desastres, la salud pública y la preparación para grandes riesgos catastróficos globales. Por ejemplo, los impactos del cambio climático y el riesgo climático afectan a cada parte de la sociedad, por lo que comunicar ese riesgo es una práctica de comunicación climática importante para que las sociedades planifiquen la adaptación climática. De manera similar, en la prevención de pandemias, la comprensión del riesgo ayuda a las comunidades a detener la propagación de enfermedades y mejorar las respuestas.

La comunicación de riesgos se ocupa de los posibles riesgos y tiene como objetivo crear conciencia sobre esos riesgos para alentar o persuadir cambios en el comportamiento para aliviar las amenazas a largo plazo. Por otro lado, la comunicación de crisis tiene como objetivo crear conciencia sobre un tipo específico de amenaza, la magnitud, los resultados y los comportamientos específicos a adoptar para reducir la amenaza.La comunicación de riesgos en la inocuidad de los alimentos forma parte del marco de análisis de riesgos. Junto con la evaluación de riesgos y la gestión de riesgos, la comunicación de riesgos tiene como objetivo reducir las enfermedades transmitidas por los alimentos. La comunicación de riesgos de inocuidad de los alimentos es una actividad obligatoria para las autoridades de inocuidad de los alimentos en los países que adoptaron el Acuerdo sobre la Aplicación de Medidas Sanitarias y Fitosanitarias.