Ir al contenido principal

Análisis de riesgo corporativo


 

El análisis de riesgos corporativos es un proceso que permite identificar, evaluar y gestionar los posibles eventos o situaciones que puedan afectar negativamente a los objetivos, la reputación o la continuidad de una organización. Para realizar un análisis de riesgos corporativos eficaz, es necesario aplicar una metodología adecuada que permita obtener una visión integral y objetiva de los riesgos a los que se enfrenta la empresa.

Existen diferentes metodologías para realizar un análisis de riesgos corporativos, quiero destacar las tres que considero a lo largo de mi carrera las más relevantes y empleadas por los profesionales de la seguridad:

- El método COSO (Committee of Sponsoring Organizations of the Treadway Commission): Es un marco de referencia internacional que establece los principios y componentes esenciales para el desarrollo e implementación de un sistema de gestión de riesgos corporativos. El método COSO se basa en ocho componentes: ambiente interno, establecimiento de objetivos, identificación de eventos, evaluación de riesgos, respuesta a los riesgos, actividades de control, información y comunicación y monitoreo. El método COSO permite alinear la gestión de riesgos con la estrategia, la cultura y el gobierno corporativo de la organización. Para aplicar el método COSO, se debe seguir un ciclo continuo que consiste en: definir el contexto y el apetito al riesgo de la organización, identificar los eventos internos y externos que puedan afectar a sus objetivos, evaluar la probabilidad e impacto de los riesgos identificados, seleccionar las estrategias para responder a los riesgos (evitar, aceptar, reducir o compartir), implementar las acciones y controles necesarios para gestionar los riesgos, comunicar y reportar los resultados del proceso a las partes interesadas, y monitorear el desempeño y la efectividad del sistema.

- El método ISO 31000 (International Organization for Standardization): Es una norma internacional que proporciona las directrices generales para el diseño, la implementación y el mantenimiento de un sistema de gestión de riesgos corporativos. El método ISO 31000 se basa en tres elementos: principios, marco y proceso. Los principios son las bases para una gestión de riesgos efectiva y eficiente. El marco es el conjunto de arreglos que se establecen para gestionar los riesgos en toda la organización. El proceso es el conjunto de actividades que se realizan para identificar, analizar, evaluar, tratar, monitorear y revisar los riesgos. Para aplicar el método ISO 31000, se debe seguir un proceso iterativo que consiste en: establecer el liderazgo y el compromiso de la alta dirección con la gestión de riesgos, integrar la gestión de riesgos en todos los niveles y funciones de la organización, definir el alcance, el contexto y los criterios de evaluación del proceso, identificar los riesgos que puedan afectar a los objetivos o al valor de la organización, analizar los riesgos para determinar sus causas, fuentes, consecuencias y niveles actuales de control, evaluar los riesgos para priorizarlos según su severidad y urgencia, tratar los riesgos mediante la implementación de medidas apropiadas para modificarlos (eliminarlos, mitigarlos o aprovecharlos), monitorear y revisar regularmente los riesgos y las medidas implementadas para asegurar su efectividad y adecuación, y comunicar y consultar con las partes interesadas sobre el proceso y sus resultados.

- El método MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información): Es una metodología específica para el análisis y gestión de los riesgos asociados a los sistemas de información. El método MAGERIT se basa en cuatro fases: planificación, análisis, gestión y revisión. La planificación consiste en definir el alcance, los objetivos y los recursos del análisis. El análisis consiste en identificar y valorar los activos, las amenazas y las vulnerabilidades del sistema de información. La gestión consiste en definir e implementar las medidas de protección adecuadas para reducir o eliminar los riesgos. La revisión consiste en verificar y actualizar periódicamente el análisis y la gestión realizada. Para aplicar el método MAGERIT, se debe seguir una secuencia de pasos que consiste en: delimitar el ámbito y el nivel de detalle del análisis, identificar los activos del sistema de información y sus dependencias, clasificar los activos según su importancia y criticidad, identificar las amenazas que puedan afectar a los activos y sus escenarios de ocurrencia, identificar las vulnerabilidades que puedan facilitar o agravar el impacto de las amenazas, estimar la probabilidad e impacto de los riesgos derivados de la combinación de activos, amenazas y vulnerabilidades, evaluar el nivel de riesgo y compararlo con el nivel de riesgo aceptable, seleccionar las medidas de protección más adecuadas para reducir el nivel de riesgo a un nivel aceptable, implementar las medidas de protección seleccionadas y verificar su correcto funcionamiento, y revisar y actualizar el análisis y la gestión realizados ante cualquier cambio o incidencia en el sistema de información.

Hemos visto las tres metodologías más empleadas (dentro de mi rango de experticia) para realizar análisis de riesgo corporativo: COSO, ISO 31000 y MAGERIT. Cada una de ellas tiene sus ventajas y desventajas, así como su ámbito de aplicación y sus requisitos. Por lo tanto, no existe una metodología única o mejor que las demás, sino que dependerá de las características y necesidades de cada organización elegir la más adecuada.

La metodología COSO se enfoca en el control interno y la gestión de riesgos relacionados con el cumplimiento de los objetivos estratégicos, operativos, financieros y de cumplimiento normativo. La metodología ISO 31000 ofrece un marco genérico y flexible para la gestión de todo tipo de riesgos, basado en los principios, el marco y el proceso. La metodología MAGERIT se centra en el análisis y gestión de los riesgos que afectan a los sistemas de información, considerando los activos, las amenazas y las salvaguardas.

Es importante que las organizaciones realicen un análisis de riesgo corporativo periódicamente, para identificar, evaluar, tratar y monitorizar los riesgos que pueden afectar a su desempeño y a su continuidad. De esta forma, podrán tomar decisiones informadas y mejorar su competitividad y su reputación.

Dr. Juan Carlos Duarte

Comentarios

Publicar un comentario

Entradas más populares de este blog

Codigo 10

La comunicación es la capacidad de transmitir información, datos, pensamientos, ideas o sentimientos, para lo cual las reglas básicas de la misma se aplican para una correcta transmisión. Dentro de las comunicaciones de Seguridad y como les comente existen muchos, códigos, cromos, alfabetos o formas de transmitir la información para hacerla segura y confiable para los receptores, en esta ocasión les comparto el código 10, es muy empleado por las fuerzas de seguridad de EEUU, su uso destaca entre las fuerza policiales, bomberos y ambulancias.
Publicar un comentario
Leer más

Códigos de Comunicaciones

Dentro del mundo de la Seguridad existen el vocatac (vocabulario táctico) vocatec (vocabulario técnico) cromos, alfabeto fonético empleado en transmisiones marítimas y aéreas, código q y claves que progresivamente iremos compartiendo por este medio. Se adjunta Código Fonético y Código Q.
Publicar un comentario
Leer más

Comunicaciones tácticas de señas

Dentro del mundo de la Seguridad existen el vocatac (vocabulario táctico) vocatec (vocabulario técnico) cromos, alfabeto fonético empleado en transmisiones marítimas y aéreas, código q y claves que progresivamente iremos compartiendo por este medio. En esta ocasión comparto la técnica de señales de mano, normalmente empleadas por fuerzas de seguridad especializada, militares y grupos tácticos o de asaltos de las diferentes policías, este tipo de señales debe ser entendida por el equipo, debe ser repetida por todo el equipo una vez el jefe de equipo la realice para asegurar la emisión del mensaje, se debe validar cada 10 o 15 min al equipo para saber si existe algún mensaje, se realiza para evitar sonidos radiales o ruidos que pongan en riesgo la operación
Publicar un comentario
Leer más