ADMINISTRACIÓN DE RIESGOS

La Administración o Gestión de Riesgos es reconocida como una parte integral de las buenas prácticas gerenciales. Es un proceso iterativo que consta de pasos, los cuales, cuando son ejecutados en secuencia, posibilitan una mejora continua en el proceso de toma de decisiones.

La Administración de riesgos es un término aplicado a un método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o proceso de una forma que permita a las organizaciones minimizar pérdidas y maximizar oportunidades.

La Administración de riesgos es tanto identificar oportunidades como evitar o mitigar pérdidas. Puede ser aplicado  a todas las etapas de la vida de una actividad, función, proyecto, producto o activo.

Según Peter Drucker, tratar de eliminar el riesgo en las empresas es algo inútil. El riesgo es algo inherente al hecho de comprometer recursos actuales en busca de resultados futuros. De hecho, el progreso económico se define como la habilidad de tomar riesgos.

La administración de riesgos se puede definir entonces como el proceso de identificación, medida y administración de los riesgos que amenazan la existencia, los activos, las ganancias o al personal de una organización, o los servicios que ésta provee.

El principal objetivo de la ciencia de la administración de riesgos debe ser el de permitirle a la organización tomar los riesgos adecuados, proveyendo el conocimiento y la comprensión de dichos riesgos, identificando los recursos y esfuerzos necesarios para alcanzar los resultados deseados, movilizando las energías necesarias para ello y midiendo los resultados contra las expectativas presupuestas; además de proveer los medios para la temprana detección y corrección de decisiones erradas o inadecuadas.

Tipos de Riesgos

La palabra riesgo ha sido utilizada de manera indistinta para referirse a varias situaciones diferentes. Para efectos del proceso de administración de riesgos es preciso diferenciar el concepto de riesgo y su definición básica, del concepto de AMENAZA, la cual se entiende como la percepción que se tiene de un peligro.

Los riesgos se clasifican según los diversos criterios aplicables a cada situación.

Riesgo Subjetivo: Es la percepción particular que una persona posee sobre un riesgo. Puede tener o no relación directa con la verdadera probabilidad de ocurrencia. Dicha percepción puede verse afectada por factores como:

• La potencial severidad de sus consecuencias;
• El grado de conocimiento de la persona respecto al riesgo;
• La familiaridad con el riesgo
• Factores sicológicos que predisponen;
• El grado de aversión al riesgo.

Riesgo aceptable: Es el nivel de riesgo subjetivo que un individuo u organización están dispuestos a aceptar.

Riesgos puros: Son aquellos cuya materialización siempre representarán una pérdida, nunca una utilidad.

Riesgos especulativos: Pueden producir ganancias o pérdidas. La mayoría de los riesgos asumidos por las organizaciones son especulativos.

Los principios básicos de la administración de estos dos tipos de riesgos son esencialmente los mismos, pero las técnicas de administración de riesgos puros se han desarrollado en forma separada de las de administración de riesgos financieros y especulativos. Esto refleja la tendencia de muchas empresas que encuentran operacionalmente conveniente para la administración de cada tipo de riesgo su manejo por diferentes áreas. No obstante, la frontera entre los dos tipos de riesgos a veces no está claramente definida. Tal es el caso del riesgo político.

Riesgos estáticos: Son aquellos que siempre están presentes en un sistema ordenado. Los riesgos de rayo y otros fenómenos naturales son ejemplos de este tipo de riesgos; los cuales a su vez caen dentro de la categoría de riesgos puros.

Riesgos dinámicos: Son aquellos que cambian y se transforman al ritmo que cambia el sistema mismo. Los cambios económicos, políticos, sociales, legales, tecnológicos y ambientales pueden crear nuevos riesgos o modificar los existentes. Los riesgos dinámicos usualmente son también especulativos, pero incluyen además una categoría especial de riesgos puros: los riesgos de responsabilidad, los cuales dependen enteramente del desarrollo de la legislación.

Riesgos fundamentales: Son aquellos que pueden afectar a la totalidad o a la mayor parte de una sociedad, como son los desastres naturales o factores económicos o políticos de amplio espectro, como las guerras o la recesión. Las organizaciones usualmente tienen poco control sobre este tipo de riesgos y su administración se concentra en reducir sus efectos.

Riesgos particulares: Son aquellos que de manera directa pueden afectar a una organización, los cuales pueden ser controlables en alguna medida.

De acuerdo con el tipo de amenaza que puede materializarse, se tiene la siguiente clasificación:

• Riesgos físicos: incluyen las lesiones o muerte de personas y todas las formas de pérdida o daño de propiedades. Las causas de pérdidas físicas son usualmente el resultado de la materialización de peligros comunes, como incendio, explosión, terremoto, colisión, contaminación, rayo. Etc.; pero también puede ser el resultado del incendio intencional, robo, actos mal intencionados o daños causados por error humano.

• Riesgos de responsabilidad: Los riesgos de responsabilidad pueden provenir de reclamaciones de los empleados, de los clientes o proveedores y del público en general. Si bien dichas reclamaciones pueden resultar de factores mencionados en la clasificación anterior, también pueden relacionarse con los productos o servicios que presta la empresa, los efectos de la responsabilidad contractual con los clientes, proveedores u otros y el efecto de regulaciones nacionales o internacionales. 

• Riesgos de interrupción de negocios: Fenómenos de esta naturaleza suelen seguir a la materialización de los riesgos físicos de responsabilidad antes descritos. Aquí es necesario considerar el efecto de potenciales pérdidas debido a factores externos, tales como falta de suministros, dependencia de sistemas electrónicos, especialmente en operaciones altamente sistematizadas; además de las interrupciones forzadas por decisiones de tipo legal (por ejemplo debido a la contaminación). Otra causa de interrupción de negocios podría ser la pérdida de mercado.

• Riesgos sociales: El efecto de los cambios sociales es una amenaza creciente para las organizaciones. Esta categoría incluye los cambios en los hábitos de consumo, el desempleo, la recesión, el vandalismo y todas las manifestaciones de fraude.

• Riesgos políticos: Los cambios bruscos en las políticas gubernamentales, las nuevas legislaciones, las decisiones proteccionistas, los efectos de la inflación, los cambios bruscos en la política monetaria, la imposición de nuevos aranceles de importación y en general, todo cambio en las reglas de juego del sector.

• Riesgos ambientales: La identificación de los riesgos ambientales implica el reconocimiento de cambios en el medio ambiente con cierta anticipación. Deberán considerarse los efectos del clima, el agotamiento de los recursos, la necesidad de elegir fuentes alternativas de energéticos y la posible necesidad de un cambio en la tecnología.

• Riesgos de administración: Una administración deficiente puede tener un efecto catastrófico en las organizaciones, aunque su costo muchas veces permanezca oculto hasta que los resultados de una pobre administración se hacen evidentes en los resultados generales de la organización. Una administración inadecuada se traducirá en desperdicios, mala planeación, fallas en almacenamiento, errores en la selección y políticas de personal, etc. Una planeación inadecuada puede determinar la imposibilidad de la empresa para mantenerse al día con los cambios tecnológicos y administrativos y un errado desarrollo de nuevos productos, servicios y alternativas, lo cual puede determinar una irremediable pérdida de mercado.

Una adecuada Administración de Riesgos, deberá seguir invariablemente el siguiente proceso:

1. Identificación del riesgo y lo que lo provoca.

2. Evaluación del riesgo y sus consecuencias.

3. Definición de una estrategia ante dicho riesgo.

4. Ejecución de la estrategia y vigilancia del proceso.

5. Medición del resultado de la estrategia. 

Estrategias ante el riesgo

En términos generales, ante la presencia de la amenaza de algún riesgo, existen varias actitudes o estrategias que podemos asumir:

1. Eliminar: consiste en desaparecer la fuente de riesgo.

2. Reducir: consiste en minimizar la exposición disminuyendo aquellas variables que lo causan.

3. Prevenir: realizar las acciones necesarias para contrarrestar la severidad del riesgo.

4. Retener: correr el riesgo y aceptar sus consecuencias.

5. Distribuir: repartir el riesgo entre varios participantes.

6. Transferir: traspasar las consecuencias del riesgo a otra entidad.

Etapas de la Administración de Riesgos

1) Identificación de riesgos: consiste en identificar los posibles riesgos de un proyecto a través de la aplicación de técnicas.

2) Cuantificación de riesgos: consiste en cuantificar el impacto de los riesgos de un proyecto en término de costo y plazo mediante el uso de técnicas de análisis de riesgos.

3) Elaboración de respuestas de riesgos: consiste en analizar y seleccionar la estrategia que contrarreste el impacto de los riesgos de un proyecto.

4) Administración de contingencias: consiste en monitorear y controlar los recursos asignados a la estrategia implementada.  

Administración de riesgos en tecnología informática

Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control se pueda evaluar el desempeño del entorno informático.

una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos informáticos, este trabajo sirve de apoyo para una adecuada gestión de la administración de riesgos, basándose en los siguientes aspectos:

• La evaluación de los riesgos inherentes a los procesos informáticos.
• La evaluación de las amenazas ó causas de los riesgos.
• Los controles utilizados para minimizar las amenazas a riesgos.
• La asignación de responsables a los procesos informáticos.
• La evaluación de los elementos del análisis de riesgos.

Tipos de gestión de riesgos informáticos

A continuación, listamos los tipos de amenazas más comunes que debe tener en cuenta en su proceso de análisis de gestión de riesgos informáticos:

• Accesos no autorizados: esto puede ser por un ataque directo de hacking, una infección de malware o una amenaza interna.
• Uso indebido de la información: esta se puede dar por parte de un usuario autorizado de la organización.
• Fuga de datos o exposición involuntaria de información: esto incluye permitir el uso de USB, discos duros no cifrados o accesos sin restricciones. También es común en prácticas deficientes de retención de documentos y destrucción de papel; transmisión de información personal no pública (NPPI) a través de canales no seguros; o envío accidental de información sensible al destinatario equivocado.
• Pérdida de datos: esto se puede presentar como resultado de procesos de replicación de datos y copias de seguridad deficientes.
• Interrupción total de los servicios informáticos y disminución de la productividad

Identificar las amenazas de gestión de riesgos informáticos

Si bien los hackers y el malware probablemente sean lo primero que se le acerque a la mente, existen muchos otros tipos de amenazas dentro de la gestión de riesgos informáticos:

• Desastres naturales. Inundaciones, huracanes, terremotos, incendios y otros desastres naturales.
• Fallo del sistema. La probabilidad de falla del sistema depende de la calidad de su computadora.
• Interferencia humana accidental. Esta amenaza siempre es alta, sin importar en qué negocio se encuentre.
• Suplantación. Es el uso indebido de las credenciales de otra persona.