Por César Alonso – Responsable de Proyectos de Audisec.
¿Qué riesgos tiene mi organización?
Es la pregunta que debe responder el responsable de gestión de riesgos, para ello realiza un análisis de riesgos que proporcione los puntos críticos de la organización. Este análisis debe buscar un equilibrio entre la exhaustividad para no dejar de considerar ningún aspecto, que suele derivar en un análisis que no termina nunca o, por otro lado, hacer un análisis muy somero que nos proporcione una idea insuficiente de la situación de la organización.
¿Cómo conseguir este equilibrio?
Te presentamos estos 8 consejos para hacer un análisis de riesgos eficiente y eficaz:
- Utiliza una herramienta que te permita considerar todos los tipos de elementos que hayas decidido que van a participar en el análisis, así como sus dependencias. Debe permitir definir con mucho detalle algunos de ellos, incluso hacer un cálculo de su importancia para la organización, y para otros no tanto, por ejemplo, heredar de forma automática la importancia de otros elementos con los que está relacionado.
- La herramienta debe permitir configurar las diferentes metodologías de análisis que se hayan considerado para cada tipo de análisis. Es posible que el análisis de riesgos financieros se realice con una metodología diferente al análisis de riesgos de seguridad de la información. Ambas deberán poder convivir para aplicarse a los respectivos análisis. Así haremos los análisis de forma simultánea si así lo deseamos.
- Es habitual que muchas personas tengan que intervenir en el proceso para la valoración de los riesgos. Una herramienta eficiente nos proporcionará la posibilidad de obtener esta valoración a través de encuestas, de forma rápida y directa para cada persona. Posteriormente, la consolidación de resultados se realizará de forma automática.
- Una vez obtenidos todos los riesgos, la herramienta debe ser capaz de presentar los resultados a gusto del consumidor. En forma de tabla para, por ejemplo, un análisis detallado o con diferentes gráficas de nivel ejecutivo aplicando diferentes filtros y preferencias. Todo ello con la posibilidad de recalcular de forma rápida el análisis de riesgos completo en caso de que necesitemos ajustar algún aspecto del proceso.
- Elige una herramienta que posibilite la definición del nivel de riesgo aceptable por la organización de forma flexible. Puede ser de forma global para la organización, por áreas de negocio, o elemento a elemento. Seguramente se realizará de diferente forma para cada tipo de análisis.
- Queremos informes y registros a medida, no los que nos impongan. Nuestra herramienta debe permitir configurar la información que queremos que aparezca en los diferentes tipos de informes que necesitaremos, tanto del resultado final como de cualquier fase del proceso de análisis y gestión de los riesgos.
- Hablando de la gestión de riesgos, una vez hayamos terminado el análisis definiremos un plan de tratamiento vinculando cada acción de mejora con los riesgos que trate. Elegiremos una herramienta que además nos permita optimizarlo de forma que podamos simular cómo sería el mapa de riesgos final una vez ejecutado el plan, y ajustar así las acciones para conseguir un resultado óptimo.
- El paso final de la gestión de riesgos es la obtención del riesgo residual una vez que el plan de tratamiento se ha finalizado. La herramienta elegida realizará este cálculo de forma automática según la eficacia que se establezca para las acciones de mejora del plan de tratamiento. Evitaremos así la tediosa revisión de todos y cada uno de los riesgos tratados para recalcular su valor actual.
Si, como gestor de los riesgos de tu organización, cuentas con una herramienta como GlobalSUITE – Risk Management que cubre todos estos aspectos, te felicito, seguro que tu gestión es un factor útil y válido para la estrategia de tu organización, a la vez que consigues un análisis de gestión de riesgos eficaz y eficiente.
Te dejamos este link con información sobre nuestra formación en gestión de riesgos que puede resultarte interesante.
0 comentarios