Publicado el 25 de marzo de 2019 – 2 min read
Un plan de gestión de riesgos es un documento escrito que detalla el proceso de gestión de riesgos de la organización. Este proceso comienza con la creación de un equipo de partes interesadas en toda la organización para revisar los riesgos potenciales para la organización. Este equipo de partes interesadas debe incluir a la alta dirección, al responsable de cumplimiento y a los directores de departamento. Si la organización está desarrollando software, entonces un gerente de proyecto de cada equipo de proyecto también debe ser incluido para revisar la gestión del proyecto y responder a los riesgos del proyecto.
Una vez creado, el equipo puede comenzar a trabajar en el proceso de gestión de riesgos.
Establecer objetivos
En primer lugar, los miembros del equipo deben revisar los objetivos del negocio, como el desarrollo de productos o las asociaciones comerciales con terceros. Al comenzar con los objetivos de negocio, el proceso de gestión de riesgos se alinea con los objetivos actuales y futuros.
Identificación de riesgos
El segundo paso en la creación de un plan de gestión de riesgos radica en la revisión de los activos digitales como sistemas, redes, software, dispositivos, proveedores y datos. La catalogación de estos activos permite entonces a los miembros del equipo identificar los riesgos para los activos. Un riesgo, o evento incierto, puede ser una condición positiva o negativa que tiene un impacto financiero, operativo o de reputación.
Evaluación de riesgos
Después de identificar los riesgos, el equipo de gestión de riesgos necesita evaluarlos. Los riesgos positivos, como la entrega anticipada de un producto, también pueden dar lugar a riesgos negativos, como la incapacidad de un cliente para cumplir un calendario de pagos. La organización necesita prever los riesgos para encontrar la manera de analizar su impacto potencial.
Análisis de Riesgos
Para cada riesgo identificado y evaluado, el equipo debe mirar la probabilidad de que el evento ocurra y luego estimar los impactos para el negocio si ocurre. Multiplicar la probabilidad por el impacto estimado puede dar una idea del efecto de un riesgo. Un riesgo con una baja probabilidad conlleva un impacto financiero devastador. Mientras tanto, un riesgo con una alta probabilidad puede no tener ningún impacto. Parte del análisis cuantitativo o cualitativo consiste en crear la matriz de evaluación de riesgos. Esto permite al equipo de gestión de riesgos utilizar el análisis de riesgos y asignar calificaciones como alta, media o baja.
Tolerancia al riesgo
Después de asignar las calificaciones de riesgo, el equipo trabaja para determinar si aceptará, transferirá, mitigará o rechazará un riesgo. El equipo puede decidir aceptar un riesgo bajo, un evento potencial que no es probable que ocurra y que tendría poco impacto si ocurriera. Sin embargo, también puede rechazar un riesgo alto, un evento potencial que es muy probable que ocurra y que tendría un gran impacto.
Mitigación de riesgos
Para los riesgos aceptados, el equipo debe crear un conjunto de estrategias de mitigación de riesgos. Para cada riesgo que una organización acepta o transfiere, necesita definir respuestas a los problemas que pueden ocurrir. En la seguridad de la información, esto significa establecer controles para proteger los datos de los ciberdelincuentes. Así, las estrategias de mitigación de riesgos actúan como un plan de contingencia en caso de que el evento ocurra para ayudar a limitar el impacto definido.
Plan de gestión de riesgos
El plan de gestión de riesgos es un documento que contiene todas las consideraciones de evaluación, análisis, tolerancia y mitigación de riesgos.