Evaluación de riesgos empresariales: 5 metodologías con eficacia probada
La evaluación de riesgos empresariales es un área de importancia crítica dentro de la gestión y cumplimiento corporativos. Lo es porque si los riesgos no se evalúan de forma correcta, todas las decisiones y acciones que se pongan en marcha para controlarlos pueden ser insuficientes e incluso ir en la dirección incorrecta.
En general, las diferentes metodologías para la evaluación de riesgos empresariales se agrupan en dos categorías: cualitativas y cuantitativas. Dentro de estas dos amplias categorías hay varias técnicas específicas de evaluación de riesgos empresariales que puede implementar en su organización. Y que explicamos a continuación.
Evaluación de riesgos empresariales – Beneficios y retos
La evaluación de riesgos es un proceso continuo de identificación, análisis y priorización de riesgos que podrían perjudicar a la organización.
Para administrar el riesgo de manera efectiva, las organizaciones deben identificar todos sus riesgos y luego analizar el impacto potencial y la probabilidad de cada uno. Esta es la base para implementar estrategias que mantengan el riesgo en niveles aceptables. Muchas de estas actividades se realizan dentro del ámbito de la evaluación de riesgos empresariales.
Como principales beneficios de la evaluación de riesgos empresariales se pueden mencionar:
- Comprender los factores de riesgo clave, los tipos de riesgo y las fuentes de riesgo.
- Decidir cuánto riesgo puede tolerar la organización.
- Evaluar el impacto potencial de los riesgos identificados y mitigar este impacto para minimizar el daño potencial.
Utilizar metodologías de evaluación de riesgos eficaces permite discernir la exposición real a diferentes riesgos y compararla con el apetito y tolerancia al riesgo de la organización. Además, son la base para aumentar la percepción sobre los riesgos que pueden afectar la operación corporativa y generar consenso para identificar los riesgos más importantes y tomar las medidas necesarias para mitigarlos.
A pesar de estos beneficios, para muchas organizaciones, la evaluación de riesgos empresariales representa un desafío por muchas razones:
- Falta de consenso en cuanto a qué riesgos se consideran más importantes.
- Poco o ningún apoyo de la Alta Dirección o los propietarios de procesos.
- Falta de procedimientos y buenas prácticas a seguir.
- Comprensión inadecuada de la cultura y el contexto empresarial de la organización.
Evaluación de riesgos empresariales – 5 metodologías de comprobada eficacia
En el área de gestión de riesgos es común utilizar métodos y herramientas de evaluación. La evaluación de riesgos empresariales, no obstante, requiere metodologías afines a la importancia del riesgo evaluado. Estas cinco, han demostrado ampliamente su eficacia:
1. Auditoría de activos
La auditoría de activos es de uso común en el área de TI o de Seguridad de la Información. Sin embargo, también puede ser utilizada cuando se trata de activos como maquinaria y equipamiento, cuando cualquier incidencia sobre estos puede paralizar la operación de la empresa.
El objetivo inicial es inventariar los activos esenciales y los procesos en los que intervienen, y verificar si están protegidos y si esta protección es consistente y eficaz.
La auditoría de activos, como su nombre indica, se enfoca en el sistema, la máquina o la propiedad física que resulta esencial para la producción del bien o servicio, antes que en el proceso o en las personas.
Es una forma fácil y efectiva de garantizar la continuidad del negocio.
2. Árbol de fallas
Una falla o fallo es un evento indeseable. Bien sea que el hecho se haya presentado, o se presuma su ocurrencia, es este el inicio de la construcción del diagrama. Se trata de una herramienta compleja, que añade hojas al árbol al contestar la pregunta «¿por qué ha ocurrido…?».
De las posibles respuestas, se derivan ramas del árbol que terminan cuando se agotan las respuestas. Para construir el árbol se utilizan diferentes símbolos, pero los más importantes son los que representan un evento y los que representan una puerta lógica.
Una puerta lógica es una entrada de información que puede ser expresada en valores binarios 0 o 1 –Falso o Verdadero. Al asignarse una función de valor con estas características, los eventos se pueden conectar hasta llegar a una causa raíz con alto grado de certeza.
Establecida la causa raíz, el proceso sigue el camino habitual en gestión de riesgos: diseñar acciones correctivas, implementarlas, verificar su eficacia y reiniciar el proceso de ser necesario.
3. Árbol de ataque
El árbol de ataque, a diferencia del de fallas, parte del supuesto de que el evento ya ha ocurrido y desde ahí inicia un modelo deductivo para descubrir cuándo, cómo y por qué ocurrió el evento negativo.
Un árbol de ataque se construye siguiendo estos pasos:
- Fijar el nodo principal o superior, que es el hecho que se presume puede ocurrir.
- Como nodos accesorios, derivados del primero, aparecen las personas, organizaciones o actores que tienen la capacidad para realizar el evento negativo, y las razones por las que lo harían.
- En otros nodos se identifican las diferentes formas en que los atacantes podrían lograr su objetivo.
- En un tercer nivel se incorporan nodos con otros objetivos secundarios y, de ser necesario, nuevos actores o atacantes no considerados con anterioridad.
- Luego se evalúa cada una de las formas o rutas de ataque, y se categoriza cada una de ellas, de tal forma que se presente un listado de la más probable hasta la más improbable.
- Con base en el listado anterior, implementar controles o medidas preventivas iniciando con la forma de mayor probabilidad.
4. Evaluación OCTAVE
OCTAVE –Operational Critical, Threat, ASSET and Vulnerability Evaluation– es una metodología de evaluación de riesgos utilizada con frecuencia en el área de TI o de Seguridad de la Información, pero que también ha demostrado gran eficacia en la evaluación de riesgos empresariales.
Aunque OCTAVE se desarrolla en tres fases, comprendiendo ocho procesos en total –4 en la primera, 2 en la segunda y 2 en la tercera-, y esto aporta una complejidad y un grado de sofisticación alto, lo cierto es que lo que se hace en la práctica es seguir un proceso rutinario de gestión de riesgos: identificar amenazas, evaluarlas, establecer impacto y probabilidad, categorizarlas, definir una opción de tratamiento –eliminar, mitigar, compartir o admitir-, implementar las acciones correspondientes y comprobar la eficacia de la gestión.
5. Modelo NIST
NIST es el Instituto Nacional de Estándares y Tecnología, agencia federal norteamericana dependiente del Departamento de Comercio. Es, en cierto modo, el ISO de los Estados Unidos de Norteamérica.
Como tal, NIST también ha desarrollado un marco efectivo para evaluar el impacto y la probabilidad de ocurrencia de riesgos empresariales. Se trata de una metodología compleja que se compila en un documento titulado SP 800-30.
Lo que hace diferente al modelo NIST de las otras herramientas de evaluación de riesgos empresariales que hoy hemos referenciado, es el enfoque estandarizado y rígido que propone, el cual solicita grandes cantidades de información de diferentes fuentes y de alta confiabilidad.
Por su eficacia comprobada, estas son las cinco herramientas para la evaluación de riesgos empresariales más utilizadas. En todas ellas, los requerimientos de información son muchos y muy exigentes.
Uno de los riesgos empresariales más relevantes es, sin duda, el riesgo de corrupción y soborno. En este caso en particular, el apoyo tecnológico resultará esencial para la eficaz gestión de riesgos.
Software ISO 37001 de ISOTools
Estadísticas, informes de gestión y todos los datos e información requeridos para la aplicación de modelos de evaluación de riesgos empresariales se pueden gestionar de forma ágil con el Software ISO 37001 de ISOTools.
Esta solución informática avanzada, permite automatizar tareas tan importantes en la gestión anticorrupción como la debida diligencia, realizando además un seguimiento eficaz e inmediato, utilizando un buen sistema de reporting. Obtenga ahora información completa sobre este software.