Gestión de riesgos - Risk management

Ejemplo de evaluación de riesgos: un modelo de la NASA que muestra áreas de alto riesgo por impacto para la Estación Espacial Internacional

La gestión de riesgos es la identificación, evaluación y priorización de riesgos (definida en ISO 31000 como el efecto de la incertidumbre en los objetivos ) seguida de la aplicación coordinada y económica de recursos para minimizar, monitorear y controlar la probabilidad o el impacto de eventos desafortunados o para maximizar la realización de oportunidades.

Los riesgos pueden provenir de diversas fuentes, incluida la incertidumbre en los mercados internacionales , las amenazas de fallas de proyectos (en cualquier fase del diseño, desarrollo, producción o mantenimiento de los ciclos de vida), responsabilidades legales, riesgo crediticio, accidentes, causas naturales y desastres , ataque deliberado. de un adversario, o eventos de causa raíz incierta o impredecible . Hay dos tipos de eventos, es decir, los eventos negativos se pueden clasificar como riesgos, mientras que los eventos positivos se clasifican como oportunidades. Las normas de gestión de riesgos han sido desarrolladas por varias instituciones, incluido el Project Management Institute , el Instituto Nacional de Normas y Tecnología , sociedades actuariales y normas ISO. Los métodos, las definiciones y los objetivos varían ampliamente según si el método de gestión de riesgos se encuentra en el contexto de la gestión de proyectos, seguridad, ingeniería , procesos industriales , carteras financieras, evaluaciones actuariales o salud y seguridad públicas.

Las estrategias para manejar las amenazas (incertidumbres con consecuencias negativas) generalmente incluyen evitar la amenaza, reducir el efecto negativo o la probabilidad de la amenaza, transferir toda o parte de la amenaza a otra parte e incluso retener algunas o todas las consecuencias potenciales o reales de una amenaza particular. Lo contrario de estas estrategias se puede utilizar para responder a las oportunidades (estados futuros inciertos con beneficios).

Ciertos estándares de gestión de riesgos han sido criticados por no tener una mejora medible del riesgo, mientras que la confianza en las estimaciones y decisiones parece aumentar.

Introducción

Un vocabulario ampliamente utilizado para la gestión de riesgos se define en la Guía ISO 73: 2009 , "Gestión de riesgos. Vocabulario".

En la gestión de riesgos ideal, se sigue un proceso de priorización mediante el cual se manejan primero los riesgos con la mayor pérdida (o impacto) y la mayor probabilidad de que ocurran. Los riesgos con menor probabilidad de ocurrencia y menor pérdida se manejan en orden descendente. En la práctica, el proceso de evaluación del riesgo general puede ser difícil, y el equilibrio de los recursos utilizados para mitigar los riesgos con una alta probabilidad de ocurrencia pero menor pérdida, versus un riesgo con alta pérdida pero menor probabilidad de ocurrencia, a menudo se puede manejar mal.

La gestión de riesgos intangibles identifica un nuevo tipo de riesgo que tiene una probabilidad del 100% de ocurrir, pero la organización lo ignora debido a la falta de capacidad de identificación. Por ejemplo, cuando se aplica un conocimiento deficiente a una situación, se materializa un riesgo de conocimiento . El riesgo de relación aparece cuando se produce una colaboración ineficaz. El riesgo de participación en el proceso puede ser un problema cuando se aplican procedimientos operativos ineficaces. Estos riesgos reducen directamente la productividad de los trabajadores del conocimiento, disminuyen la rentabilidad, la rentabilidad, el servicio, la calidad, la reputación, el valor de la marca y la calidad de las ganancias. La gestión de riesgos intangibles permite que la gestión de riesgos cree valor inmediato a partir de la identificación y reducción de riesgos que reducen la productividad.

El costo de oportunidad representa un desafío único para los administradores de riesgos. Puede ser difícil determinar cuándo destinar recursos a la gestión de riesgos y cuándo utilizar esos recursos en otra parte. Una vez más, la gestión de riesgos ideal minimiza el gasto (o la mano de obra u otros recursos) y también minimiza los efectos negativos de los riesgos.

El riesgo se define como la posibilidad de que ocurra un evento que afecte negativamente el logro de un objetivo. La incertidumbre, por tanto, es un aspecto clave del riesgo. Los sistemas como el Comité de Organizaciones Patrocinadoras de la Gestión de Riesgos Empresariales de la Comisión Treadway (COSO ERM) pueden ayudar a los gerentes a mitigar los factores de riesgo. Cada empresa puede tener diferentes componentes de control interno, lo que conduce a diferentes resultados. Por ejemplo, el marco para los componentes de ERM incluye el entorno interno, el establecimiento de objetivos, la identificación de eventos, la evaluación de riesgos, la respuesta a los riesgos, las actividades de control, la información y la comunicación y el seguimiento.

Método

En su mayor parte, estos métodos constan de los siguientes elementos, realizados, más o menos, en el siguiente orden.

  1. Identificar las amenazas
  2. Evaluar la vulnerabilidad de activos críticos a amenazas específicas.
  3. Determinar el riesgo (es decir, la probabilidad y las consecuencias esperadas de tipos específicos de ataques a activos específicos)
  4. Identificar formas de reducir esos riesgos
  5. Priorizar las medidas de reducción de riesgos

Principios

La Organización Internacional de Normalización (ISO) identifica los siguientes principios de gestión de riesgos:

La gestión de riesgos debería:

  • Crear valor : los recursos gastados para mitigar el riesgo deben ser menores que la consecuencia de la inacción.
  • Ser parte integral de los procesos organizacionales.
  • Sea parte del proceso de toma de decisiones
  • Abordar explícitamente la incertidumbre y los supuestos.
  • Sea un proceso sistemático y estructurado
  • Estar basado en la mejor información disponible
  • Sea adaptable
  • Tenga en cuenta los factores humanos
  • Sea transparente e inclusivo
  • Sea dinámico, iterativo y receptivo al cambio
  • Ser capaz de mejorar y mejorar continuamente
  • Ser reevaluado de forma continua o periódica

Riesgo leve versus salvaje

Benoit Mandelbrot distinguió entre riesgo "leve" y "salvaje" y argumentó que la evaluación y la gestión del riesgo deben ser fundamentalmente diferentes para los dos tipos de riesgo. El riesgo leve sigue distribuciones de probabilidad normales o casi normales , está sujeto a regresión a la media y la ley de los grandes números y, por lo tanto, es relativamente predecible. El riesgo salvaje sigue a distribuciones de cola gruesa , por ejemplo, distribuciones de Pareto o de ley de potencias , está sujeto a regresión a la cola (media o varianza infinita, lo que hace que la ley de los grandes números sea inválida o ineficaz) y, por lo tanto, es difícil o imposible de predecir. Un error común en la evaluación y gestión del riesgo es subestimar la naturaleza salvaje del riesgo, asumiendo que el riesgo es leve cuando en realidad es salvaje, lo que debe evitarse si la evaluación y la gestión del riesgo deben ser válidas y confiables, según Mandelbrot.

Proceso

De acuerdo con la norma ISO 31000 "Gestión de riesgos - Principios y directrices de implementación", el proceso de gestión de riesgos consta de los siguientes pasos:

Estableciendo el contexto

Esto involucra:

  1. observando el contexto
    • el alcance social de la gestión de riesgos
    • la identidad y los objetivos de las partes interesadas
    • la base sobre la cual se evaluarán los riesgos, las limitaciones.
  2. definir un marco para la actividad y una agenda para la identificación
  3. desarrollar un análisis de los riesgos involucrados en el proceso
  4. mitigación o solución de riesgos utilizando los recursos tecnológicos, humanos y organizativos disponibles

Identificación

Después de establecer el contexto, el siguiente paso en el proceso de gestión de riesgos es identificar los riesgos potenciales. Los riesgos se refieren a eventos que, cuando se desencadenan, causan problemas o beneficios. Por tanto, la identificación de riesgos puede comenzar con el origen de los problemas y los de los competidores (beneficio), o con las consecuencias del problema.

  • Análisis de fuentes: las fuentes de riesgo pueden ser internas o externas al sistema que es el objetivo de la gestión de riesgos (utilice la mitigación en lugar de la gestión, ya que, según su propia definición, el riesgo se ocupa de factores de toma de decisiones que no se pueden gestionar).

Algunos ejemplos de fuentes de riesgo son: las partes interesadas de un proyecto, los empleados de una empresa o el clima en un aeropuerto.

  • Análisis de problemas: los riesgos están relacionados con las amenazas identificadas. Por ejemplo: la amenaza de perder dinero, la amenaza de abuso de información confidencial o la amenaza de errores humanos, accidentes y víctimas. Las amenazas pueden existir con varias entidades, las más importantes con accionistas, clientes y cuerpos legislativos como el gobierno.

Cuando se conoce la fuente o el problema, se pueden investigar los eventos que una fuente puede desencadenar o los eventos que pueden conducir a un problema. Por ejemplo: las partes interesadas que se retiran durante un proyecto pueden poner en peligro la financiación del proyecto; los empleados pueden robar información confidencial incluso dentro de una red cerrada; Los rayos que caen sobre una aeronave durante el despegue pueden hacer que todas las personas a bordo sean víctimas inmediatas.

El método elegido para identificar los riesgos puede depender de la cultura, la práctica de la industria y el cumplimiento. Los métodos de identificación están formados por plantillas o el desarrollo de plantillas para identificar fuente, problema o evento. Los métodos comunes de identificación de riesgos son:

  • Identificación de riesgos basada en objetivos: las organizaciones y los equipos de proyectos tienen objetivos. Cualquier evento que pueda impedir la consecución de un objetivo se identifica como riesgo.
  • Identificación de riesgos basada en escenarios: en el análisis de escenarios se crean diferentes escenarios. Los escenarios pueden ser las formas alternativas de lograr un objetivo o un análisis de la interacción de fuerzas en, por ejemplo, un mercado o una batalla. Cualquier evento que desencadene un escenario alternativo no deseado se identifica como riesgo; consulte Estudios de futuros para conocer la metodología utilizada por los futuristas .
  • Identificación de riesgos basada en taxonomía: la taxonomía en la identificación de riesgos basada en taxonomía es un desglose de las posibles fuentes de riesgo. Sobre la base de la taxonomía y el conocimiento de las mejores prácticas, se compila un cuestionario. Las respuestas a las preguntas revelan riesgos.
  • Comprobación de riesgo común: en varias industrias, están disponibles listas con riesgos conocidos. Cada riesgo de la lista puede verificarse para su aplicación a una situación particular.
  • Gráficos de riesgo: este método combina los enfoques anteriores enumerando los recursos en riesgo, las amenazas a esos recursos, modificando los factores que pueden aumentar o disminuir el riesgo y las consecuencias que se desea evitar. La creación de una matriz bajo estos encabezados permite una variedad de enfoques. Uno puede comenzar con los recursos y considerar las amenazas a las que están expuestos y las consecuencias de cada una. Alternativamente, se puede comenzar con las amenazas y examinar qué recursos afectarían, o se puede comenzar con las consecuencias y determinar qué combinación de amenazas y recursos estaría involucrada para provocarlas.

Evaluación

Una vez que se han identificado los riesgos, deben evaluarse en cuanto a la posible gravedad del impacto (generalmente un impacto negativo, como daños o pérdidas) y la probabilidad de que ocurran. Estas cantidades pueden ser simples de medir, en el caso del valor de un edificio perdido, o imposibles de saber con certeza en el caso de un evento poco probable, cuya probabilidad de ocurrencia se desconoce. Por lo tanto, en el proceso de evaluación es fundamental tomar las decisiones mejor informadas para priorizar adecuadamente la implementación del plan de gestión de riesgos .

Incluso una mejora positiva a corto plazo puede tener impactos negativos a largo plazo. Tome el ejemplo de la "autopista de peaje". Se ensancha una carretera para permitir más tráfico. Más capacidad de tráfico conduce a un mayor desarrollo en las áreas que rodean la capacidad de tráfico mejorada. Con el tiempo, el tráfico aumenta para llenar la capacidad disponible. Por lo tanto, las autopistas deben ampliarse en ciclos aparentemente interminables. Hay muchos otros ejemplos de ingeniería en los que la capacidad expandida (para realizar cualquier función) pronto se llena con una mayor demanda. Dado que la expansión tiene un costo, el crecimiento resultante podría volverse insostenible sin previsión y gestión.

La dificultad fundamental en la evaluación de riesgos es determinar la tasa de ocurrencia, ya que la información estadística no está disponible sobre todo tipo de incidentes pasados ​​y es particularmente escasa en el caso de eventos catastróficos, simplemente por su poca frecuencia. Además, evaluar la gravedad de las consecuencias (impacto) suele ser bastante difícil para los activos intangibles. La valoración de activos es otra cuestión que debe abordarse. Por tanto, las opiniones mejor informadas y las estadísticas disponibles son las principales fuentes de información. No obstante, la evaluación de riesgos debe producir información para los altos ejecutivos de la organización que los riesgos primarios sean fáciles de entender y que las decisiones de gestión de riesgos se puedan priorizar dentro de los objetivos generales de la empresa. Por lo tanto, ha habido varias teorías e intentos de cuantificar los riesgos. Existen numerosas fórmulas de riesgo diferentes, pero quizás la fórmula más aceptada para la cuantificación del riesgo es: "La tasa (o probabilidad) de ocurrencia multiplicada por el impacto del evento es igual a la magnitud del riesgo".

Opciones de riesgo

Las medidas de mitigación de riesgos generalmente se formulan de acuerdo con una o más de las siguientes opciones de riesgo principales, que son:

  1. Diseñe un nuevo proceso comercial con medidas de contención y control de riesgos integradas adecuadas desde el principio.
  2. Reevalúe periódicamente los riesgos que se aceptan en los procesos en curso como una característica normal de las operaciones comerciales y modifique las medidas de mitigación.
  3. Transferir riesgos a una agencia externa (por ejemplo, una compañía de seguros)
  4. Evite los riesgos por completo (por ejemplo, cerrando un área comercial de alto riesgo en particular)

Investigaciones posteriores han demostrado que los beneficios financieros de la gestión de riesgos dependen menos de la fórmula utilizada, pero dependen más de la frecuencia y la forma en que se realiza la evaluación de riesgos.

En los negocios, es imperativo poder presentar los hallazgos de las evaluaciones de riesgo en términos financieros, de mercado o de cronograma. Robert Courtney Jr. (IBM, 1970) propuso una fórmula para presentar los riesgos en términos financieros. La fórmula de Courtney fue aceptada como el método oficial de análisis de riesgo para las agencias gubernamentales de Estados Unidos. La fórmula propone el cálculo de ALE (expectativa de pérdida anualizada) y compara el valor de pérdida esperado con los costos de implementación del control de seguridad ( análisis de costo-beneficio ).

Tratamientos de riesgo potencial

Una vez que se han identificado y evaluado los riesgos, todas las técnicas para gestionar el riesgo se incluyen en una o más de estas cuatro categorías principales:

  • Evitación (eliminar, retirarse o no involucrarse)
  • Reducción (optimizar - mitigar)
  • Compartir (transferir - subcontratar o asegurar)
  • Retención (aceptar y presupuestar)

Puede que no sea posible el uso ideal de estas estrategias de control de riesgos . Algunos de ellos pueden implicar compensaciones que no son aceptables para la organización o la persona que toma las decisiones de gestión de riesgos. Otra fuente, del Departamento de Defensa de EE. UU. (Ver enlace), Defense Acquisition University , llama a estas categorías ACAT, para evitar, controlar, aceptar o transferir. Este uso del acrónimo ACAT recuerda a otro ACAT (para la categoría de adquisición) utilizado en las adquisiciones de la industria de defensa de los EE. UU., En el que la gestión de riesgos ocupa un lugar destacado en la toma de decisiones y la planificación.

Evitación de riesgo

Esto incluye no realizar una actividad que pueda presentar riesgo. Negarse a comprar una propiedad o un negocio para evitar responsabilidades legales es un ejemplo. Evitar los vuelos en avión por temor a un secuestro . Evitar puede parecer la respuesta a todos los riesgos, pero evitarlos también significa perder la ganancia potencial que podría haber permitido aceptar (retener) el riesgo. No ingresar a un negocio para evitar el riesgo de pérdida también evita la posibilidad de obtener ganancias. El aumento de la regulación del riesgo en los hospitales ha llevado a evitar el tratamiento de afecciones de mayor riesgo, a favor de los pacientes que presentan un riesgo menor.

La reducción de riesgos

La reducción del riesgo u "optimización" implica reducir la gravedad de la pérdida o la probabilidad de que ocurra. Por ejemplo, los rociadores están diseñados para apagar un incendio y reducir el riesgo de pérdida por incendio. Este método puede causar una mayor pérdida por daños por agua y, por lo tanto, puede no ser adecuado. Los sistemas de extinción de incendios con halones pueden mitigar ese riesgo, pero el costo puede ser prohibitivo como estrategia .

Reconociendo que los riesgos pueden ser positivos o negativos, optimizar los riesgos significa encontrar un equilibrio entre el riesgo negativo y el beneficio de la operación o actividad; y entre reducción de riesgos y esfuerzo aplicado. Mediante la aplicación eficaz de los estándares de gestión de salud, seguridad y medio ambiente (HSE), las organizaciones pueden alcanzar niveles tolerables de riesgo residual .

Las metodologías modernas de desarrollo de software reducen el riesgo al desarrollar y entregar software de forma incremental. Las primeras metodologías adolecían del hecho de que solo entregaban software en la fase final de desarrollo; cualquier problema encontrado en las fases anteriores significaba una revisión costosa y, a menudo, ponía en peligro todo el proyecto. Al desarrollar en iteraciones, los proyectos de software pueden limitar el esfuerzo desperdiciado a una sola iteración.

La subcontratación podría ser un ejemplo de estrategia de distribución de riesgos si el subcontratista puede demostrar una mayor capacidad para gestionar o reducir los riesgos. Por ejemplo, una empresa puede subcontratar solo el desarrollo de software, la fabricación de productos duros o las necesidades de atención al cliente a otra empresa, mientras se encarga de la gestión empresarial por sí misma. De esta manera, la empresa puede concentrarse más en el desarrollo comercial sin tener que preocuparse tanto por el proceso de fabricación, la gestión del equipo de desarrollo o la búsqueda de una ubicación física para un centro.

Riesgo compartido

Definido brevemente como "compartir con otra parte la carga de la pérdida o el beneficio de la ganancia, de un riesgo, y las medidas para reducir un riesgo".

El término "transferencia de riesgo" se utiliza a menudo en lugar de compartir el riesgo en la creencia errónea de que puede transferir un riesgo a un tercero a través de un seguro o subcontratación. En la práctica, si la compañía de seguros o el contratista quiebra o terminan en un tribunal, es probable que el riesgo original aún recaiga en la primera parte. Como tal, en la terminología de profesionales y académicos por igual, la compra de un contrato de seguro se describe a menudo como una "transferencia de riesgo". Sin embargo, técnicamente hablando, el comprador del contrato generalmente retiene la responsabilidad legal por las pérdidas "transferidas", lo que significa que el seguro puede describirse con mayor precisión como un mecanismo compensatorio posterior al evento. Por ejemplo, una póliza de seguro de lesiones personales no transfiere el riesgo de un accidente automovilístico a la compañía de seguros. El riesgo aún recae en el titular de la póliza, es decir, la persona que ha estado en el accidente. La póliza de seguro simplemente establece que si ocurre un accidente (el evento) que involucra al titular de la póliza, entonces se le puede pagar al titular de la póliza alguna compensación que sea proporcional al sufrimiento / daño.

Los métodos de gestión del riesgo se dividen en múltiples categorías. Los grupos de retención de riesgos técnicamente retienen el riesgo para el grupo, pero distribuirlo entre todo el grupo implica la transferencia entre los miembros individuales del grupo. Esto es diferente del seguro tradicional, en que no se intercambian primas entre los miembros del grupo por adelantado, sino que las pérdidas se evalúan a todos los miembros del grupo.

Retención de riesgo

La retención de riesgos implica aceptar la pérdida, o el beneficio de la ganancia, de un riesgo cuando ocurre el incidente. El verdadero autoseguro entra en esta categoría. La retención de riesgos es una estrategia viable para riesgos pequeños donde el costo de asegurar contra el riesgo sería mayor con el tiempo que las pérdidas totales sufridas. Todos los riesgos que no se evitan o transfieren se retienen por defecto. Esto incluye riesgos que son tan grandes o catastróficos que no pueden ser asegurados o las primas serían inviables. La guerra es un ejemplo, ya que la mayoría de las propiedades y los riesgos no están asegurados contra la guerra, por lo que la pérdida atribuida a la guerra es retenida por el asegurado. Además, cualquier monto de pérdida potencial (riesgo) sobre el monto asegurado es riesgo retenido. Esto también puede ser aceptable si la posibilidad de una pérdida muy grande es pequeña o si el costo de asegurar montos de cobertura mayores es tan grande que obstaculizaría demasiado los objetivos de la organización.

Plan de gestión de Riesgos

Seleccione los controles o contramedidas adecuados para mitigar cada riesgo. La mitigación de riesgos debe ser aprobada por el nivel de administración apropiado. Por ejemplo, un riesgo relacionado con la imagen de la organización debería estar respaldado por una decisión de la alta dirección, mientras que la dirección de TI tendría la autoridad para decidir sobre los riesgos de virus informáticos.

El plan de gestión de riesgos debe proponer controles de seguridad aplicables y efectivos para gestionar los riesgos. Por ejemplo, un alto riesgo observado de virus informáticos podría mitigarse adquiriendo e implementando software antivirus. Un buen plan de gestión de riesgos debe contener un cronograma para la implementación del control y las personas responsables de esas acciones.

Según ISO / IEC 27001 , la etapa inmediatamente posterior a la finalización de la fase de evaluación de riesgos consiste en preparar un Plan de Tratamiento de Riesgos, que debe documentar las decisiones sobre cómo se debe manejar cada uno de los riesgos identificados. La mitigación de riesgos a menudo significa la selección de controles de seguridad , que deben documentarse en una Declaración de aplicabilidad, que identifica qué objetivos de control y controles particulares de la norma se han seleccionado y por qué.

Implementación

La implementación sigue todos los métodos planificados para mitigar el efecto de los riesgos. Adquirir pólizas de seguro por los riesgos que se ha decidido traspasar a una aseguradora, evitar todos los riesgos que se puedan evitar sin sacrificar los objetivos de la entidad, reducir otros y retener el resto.

Revisión y evaluación del plan

Los planes iniciales de gestión de riesgos nunca serán perfectos. La práctica, la experiencia y los resultados reales de las pérdidas requerirán cambios en el plan y aportarán información para permitir que se tomen posibles decisiones diferentes al abordar los riesgos que se enfrentan.

Los resultados del análisis de riesgos y los planes de gestión deben actualizarse periódicamente. Hay dos razones principales para esto:

  1. para evaluar si los controles de seguridad seleccionados previamente siguen siendo aplicables y efectivos
  2. evaluar los posibles cambios en el nivel de riesgo en el entorno empresarial. Por ejemplo, los riesgos de la información son un buen ejemplo de un entorno empresarial que cambia rápidamente.

Limitaciones

Dar demasiada prioridad a los procesos de gestión de riesgos podría evitar que una organización complete un proyecto o incluso comience. Esto es especialmente cierto si se suspende otro trabajo hasta que el proceso de gestión de riesgos se considere completo.

También es importante tener en cuenta la distinción entre riesgo e incertidumbre . El riesgo se puede medir por impactos × probabilidad.

Si los riesgos se evalúan y priorizan incorrectamente, se puede perder tiempo tratando con el riesgo de pérdidas que probablemente no ocurran. Debe evitarse dedicar demasiado tiempo a evaluar y gestionar riesgos poco probables. Ocurren eventos improbables, pero si el riesgo es lo suficientemente improbable para que ocurra, puede ser mejor simplemente retener el riesgo y lidiar con el resultado si la pérdida realmente ocurre. La evaluación cualitativa del riesgo es subjetiva y carece de coherencia. La justificación principal para un proceso formal de evaluación de riesgos es legal y burocrática.

Áreas

Aplicada a la contabilidad financiera , la gestión de riesgos es la técnica para medir, monitorear y controlar el riesgo financiero u operativo en el balance de una empresa , una medida tradicional es el valor en riesgo (VaR), pero también existen otras medidas como el beneficio en riesgo ( PaR) o margen en riesgo . El marco de Basilea II divide los riesgos en riesgo de mercado ( riesgo de precio), riesgo de crédito y riesgo operativo y también especifica métodos para calcular los requisitos de capital para cada uno de estos componentes.

En tecnología de la información, la gestión de riesgos incluye "Manejo de incidentes", un plan de acción para hacer frente a intrusiones, robo cibernético, denegación de servicio, incendios, inundaciones y otros eventos relacionados con la seguridad. Según el Instituto SANS , es un proceso de seis pasos: preparación, identificación, contención, erradicación, recuperación y lecciones aprendidas.

Gestión de riesgos contractuales

El concepto de "gestión de riesgos contractuales" enfatiza el uso de técnicas de gestión de riesgos en el despliegue del contrato, es decir, la gestión de los riesgos que se aceptan mediante la celebración de un contrato. El académico noruego Petri Keskitalo define la "gestión de riesgos contractuales" como "un método de contratación práctico, proactivo y sistemático que utiliza la planificación y la gobernanza de los contratos para gestionar los riesgos relacionados con las actividades comerciales". En un artículo de Samuel Greengard publicado en 2010, se mencionan dos casos legales estadounidenses que enfatizan la importancia de tener una estrategia para enfrentar el riesgo:

  • UDC v. CH2M Hill , que se ocupa del riesgo de un asesor profesional que firma una disposición de indemnización que incluye la aceptación de un deber de defensa , que de ese modo puede asumir los costos legales de defender a un cliente sujeto a un reclamo de un tercero,
  • Witt v. La Gorce Country Club, que trata sobre la efectividad de una cláusula de limitación de responsabilidad , que, en ciertas jurisdicciones, puede resultar ineficaz.

Greengard recomienda utilizar el lenguaje contractual estándar de la industria tanto como sea posible para reducir el riesgo tanto como sea posible y confiar en las cláusulas que han estado en uso y están sujetas a la interpretación judicial establecida durante varios años.

Instituciones de la memoria (museos, bibliotecas y archivos)

Empresa

En la gestión de riesgos empresariales, un riesgo se define como un posible evento o circunstancia que puede tener influencias negativas en la empresa en cuestión. Su impacto puede ser sobre la propia existencia, los recursos (humanos y capital), los productos y servicios, o los clientes de la empresa, así como los impactos externos sobre la sociedad, los mercados o el medio ambiente. En una institución financiera, la gestión del riesgo empresarial normalmente se considera la combinación de riesgo crediticio, riesgo de tasa de interés o gestión de activos y pasivos , riesgo de liquidez, riesgo de mercado y riesgo operativo.

En el caso más general, cada riesgo probable puede tener un plan pre-formulado para hacer frente a sus posibles consecuencias (para asegurar la contingencia si el riesgo se convierte en un pasivo ).

A partir de la información anterior y el costo promedio por empleado a lo largo del tiempo, o la tasa de acumulación de costos , un gerente de proyecto puede estimar:

  • el costo asociado con el riesgo si surge, estimado multiplicando los costos de los empleados por unidad de tiempo por el tiempo perdido estimado ( impacto del costo , C donde C = índice de acumulación de costos * S ).
  • el probable aumento en el tiempo asociado con un riesgo ( variación de horario debido al riesgo , Rs donde Rs = P * S):
    • Ordenar por este valor pone en primer lugar los mayores riesgos para la programación. Esto tiene la intención de hacer que se intenten primero los mayores riesgos para el proyecto, de modo que el riesgo se minimice lo más rápido posible.
    • Esto es un poco engañoso ya que las variaciones de cronograma con una P grande y una S pequeña y viceversa no son equivalentes. (El riesgo de que el RMS Titanic se hunda frente a que las comidas de los pasajeros se sirvan en un momento ligeramente incorrecto).
  • el probable aumento en el costo asociado con un riesgo ( variación del costo debido al riesgo , Rc donde Rc = P * C = P * CAR * S = P * S * CAR)
    • Al clasificar este valor, los riesgos más altos para el presupuesto son lo primero.
    • vea las preocupaciones sobre la variación del horario, ya que es una función de la misma, como se ilustra en la ecuación anterior.

El riesgo en un proyecto o proceso puede deberse a una variación por causa especial o una variación por causa común y requiere un tratamiento adecuado. Eso es para reiterar la preocupación de que los casos extremos no sean equivalentes en la lista inmediatamente anterior.

Seguridad empresarial

ESRM es un enfoque de gestión de programas de seguridad que vincula las actividades de seguridad con la misión y los objetivos comerciales de una empresa a través de métodos de gestión de riesgos. El papel del líder de seguridad en ESRM es administrar los riesgos de daño a los activos de la empresa en asociación con los líderes de negocios cuyos activos están expuestos a esos riesgos. La ESRM implica educar a los líderes empresariales sobre los impactos realistas de los riesgos identificados, presentar estrategias potenciales para mitigar esos impactos y luego promulgar la opción elegida por la empresa de acuerdo con los niveles aceptados de tolerancia al riesgo empresarial.

Dispositivo médico

Para los dispositivos médicos , la gestión de riesgos es un proceso para identificar, evaluar y mitigar los riesgos asociados con daños a las personas y daños a la propiedad o al medio ambiente. La gestión de riesgos es una parte integral del diseño y desarrollo de dispositivos médicos, los procesos de producción y la evaluación de la experiencia de campo, y es aplicable a todo tipo de dispositivos médicos. La mayoría de los organismos reguladores, como la FDA de EE . UU ., Requieren la evidencia de su aplicación . La gestión de riesgos para dispositivos médicos está descrita por la Organización Internacional de Normalización (ISO) en ISO 14971: 2019 , Dispositivos médicos: la aplicación de la gestión de riesgos a dispositivos médicos, un estándar de seguridad de productos. El estándar proporciona un marco de proceso y los requisitos asociados para las responsabilidades de gestión, el análisis y la evaluación de riesgos, los controles de riesgos y la gestión de riesgos del ciclo de vida. La guía sobre la aplicación del estándar está disponible a través de ISO / TR 24971: 2020.

La versión europea del estándar de gestión de riesgos se actualizó en 2009 y nuevamente en 2012 para hacer referencia a la Directiva de dispositivos médicos (MDD) y a la revisión de la Directiva de dispositivos médicos implantables activos (AIMDD) en 2007, así como a la Directiva de dispositivos médicos in vitro (IVDD). ). Los requisitos de EN 14971: 2012 son casi idénticos a los de ISO 14971: 2007. Las diferencias incluyen tres Anexos Z "(informativos)" que se refieren a los nuevos MDD, AIMDD e IVDD. Estos anexos indican desviaciones de contenido que incluyen el requisito de que los riesgos se reduzcan en la medida de lo posible y el requisito de que los riesgos se mitiguen mediante el diseño y no mediante el etiquetado en el dispositivo médico (es decir, el etiquetado ya no se puede utilizar para mitigar el riesgo).

Las técnicas típicas de análisis y evaluación de riesgos adoptadas por la industria de dispositivos médicos incluyen análisis de peligros , análisis de árbol de fallas (FTA), análisis de modos y efectos de fallas (FMEA), estudio de peligros y operabilidad ( HAZOP ) y análisis de trazabilidad de riesgos para garantizar que se implementen los controles de riesgos. y eficaz (es decir, seguimiento de los riesgos identificados con los requisitos del producto, especificaciones de diseño, resultados de verificación y validación, etc.). El análisis FTA requiere software de diagramación. El análisis de FMEA se puede realizar mediante un programa de hoja de cálculo . También existen soluciones integradas de gestión de riesgos de dispositivos médicos.

A través de una guía preliminar , la FDA ha introducido otro método llamado "Caso de garantía de seguridad" para el análisis de garantía de seguridad de dispositivos médicos. El caso de garantía de seguridad es un razonamiento de argumento estructurado sobre sistemas apropiados para científicos e ingenieros, respaldado por un conjunto de pruebas, que proporciona un caso convincente, comprensible y válido de que un sistema es seguro para una aplicación determinada en un entorno determinado. Con la orientación, se espera un caso de garantía de seguridad para dispositivos críticos para la seguridad (por ejemplo, dispositivos de infusión) como parte de la presentación de autorización previa a la comercialización, por ejemplo, 510 (k). En 2013, la FDA presentó otro borrador de orientación en el que se esperaba que los fabricantes de dispositivos médicos presentaran información sobre análisis de riesgos de ciberseguridad.

Gestión de proyectos

La gestión de riesgos del proyecto debe considerarse en las diferentes fases de adquisición. Al comienzo de un proyecto, el avance de los desarrollos técnicos, o las amenazas presentadas por los proyectos de un competidor, pueden causar una evaluación de riesgos o amenazas y una evaluación posterior de alternativas (ver Análisis de Alternativas ). Una vez que se toma una decisión y se inicia el proyecto, se pueden utilizar aplicaciones de gestión de proyectos más familiares:

  • Planificación de cómo se gestionará el riesgo en el proyecto en particular. Los planes deben incluir tareas, responsabilidades, actividades y presupuesto de gestión de riesgos.
  • Asignación de un oficial de riesgos: un miembro del equipo que no sea un gerente de proyecto que es responsable de prever posibles problemas del proyecto. La característica típica del oficial de riesgos es un sano escepticismo.
  • Mantenimiento de la base de datos de riesgos del proyecto en vivo. Cada riesgo debe tener los siguientes atributos: fecha de apertura, título, breve descripción, probabilidad e importancia. Opcionalmente un riesgo puede tener asignado un responsable de su resolución y una fecha en la que debe resolverse el riesgo.
  • Creación de un canal de denuncia de riesgos anónimo. Cada miembro del equipo debe tener la posibilidad de informar de los riesgos que prevé en el proyecto.
  • Elaborar planes de mitigación de los riesgos que se elijan mitigar. El propósito del plan de mitigación es describir cómo se manejará este riesgo en particular: qué, cuándo, quién y cómo se hará para evitarlo o minimizar las consecuencias si se convierte en un pasivo.
  • Resumiendo los riesgos planificados y enfrentados, la eficacia de las actividades de mitigación y el esfuerzo dedicado a la gestión de riesgos.

Megaproyectos (infraestructura)

Los megaproyectos (a veces también denominados "programas principales") son proyectos de inversión a gran escala, que suelen costar más de mil millones de dólares por proyecto. Los megaproyectos incluyen grandes puentes, túneles, carreteras, ferrocarriles, aeropuertos, puertos marítimos, plantas de energía, presas, proyectos de aguas residuales, esquemas de protección contra inundaciones costeras, proyectos de extracción de petróleo y gas natural, edificios públicos, sistemas de tecnología de la información, proyectos aeroespaciales y sistemas de defensa. Se ha demostrado que los megaproyectos son particularmente riesgosos en términos de finanzas, seguridad e impactos sociales y ambientales. Por lo tanto, la gestión de riesgos es particularmente pertinente para los megaproyectos y se han desarrollado métodos especiales y educación especial para dicha gestión de riesgos.

Desastres naturales

Es importante evaluar el riesgo con respecto a desastres naturales como inundaciones , terremotos , etc. Los resultados de la evaluación del riesgo de desastres naturales son valiosos cuando se consideran los costos de reparación futuros, las pérdidas por interrupción del negocio y otros tiempos de inactividad, los efectos sobre el medio ambiente, los costos de los seguros y los costos propuestos para reducir el riesgo. El Marco de Sendai para la Reducción del Riesgo de Desastres es un acuerdo internacional de 2015 que ha establecido metas y objetivos para la reducción del riesgo de desastres en respuesta a los desastres naturales. Hay regulares Conferencias Internacionales de riesgos y desastres en Davos para hacer frente a la gestión integral del riesgo.

Se pueden utilizar varias herramientas para evaluar el riesgo y la gestión de riesgos de desastres naturales y otros eventos climáticos, incluido el modelado geoespacial, un componente clave de la ciencia del cambio de la tierra . Este modelo requiere una comprensión de la distribución geográfica de las personas, así como la capacidad de calcular la probabilidad de que ocurra un desastre natural.

Desierto

La gestión de riesgos para las personas y la propiedad en áreas silvestres y áreas naturales remotas se ha desarrollado con aumentos en la participación en recreación al aire libre y una disminución de la tolerancia social a las pérdidas. Las organizaciones que brindan experiencias comerciales en áreas silvestres ahora pueden alinearse con los estándares de consenso nacionales e internacionales para capacitación y equipos, como ANSI / NASBLA 101-2017 (navegación), UIAA 152 (herramientas de escalada en hielo) y la Norma europea 13089: 2015 + A1: 2015 (montañismo equipo). La Association for Experiential Education ofrece acreditación para programas de aventuras en la naturaleza. La Wilderness Risk Management Conference brinda acceso a las mejores prácticas, y las organizaciones especializadas brindan consultoría y capacitación en gestión de riesgos silvestres.

En su libro, Outdoor Leadership and Education , el escalador, educador al aire libre y autor Ari Schneider , señala que la recreación al aire libre es inherentemente riesgosa y no hay forma de eliminarlo por completo. Sin embargo, explica cómo eso puede ser bueno para los programas de educación al aire libre. Según Schneider, la aventura óptima se logra cuando se gestiona el riesgo real y se mantiene el riesgo percibido para mantener el peligro real bajo y el sentido de la aventura alto.

El texto Outdoor Safety - Risk Management for Outdoor Leaders, publicado por el Consejo de Seguridad en las Montañas de Nueva Zelanda, ofrece una visión de la gestión de riesgos de las zonas silvestres desde la perspectiva de Nueva Zelanda, reconociendo el valor de la legislación nacional sobre seguridad al aire libre y prestando considerable atención a las funciones del juicio. y procesos de toma de decisiones en la gestión del riesgo de vida silvestre.

Un modelo popular para la evaluación de riesgos es el modelo de evaluación de riesgos y gestión de la seguridad (RASM) desarrollado por Rick Curtis, autor de The Backpacker's Field Manual. La fórmula del modelo RASM es: Riesgo = Probabilidad de accidente × Severidad de las consecuencias. El modelo RASM sopesa el riesgo negativo, el potencial de pérdida, contra el riesgo positivo, el potencial de crecimiento.

Tecnologías de la información

El riesgo de TI es un riesgo relacionado con la tecnología de la información. Este es un término relativamente nuevo debido a la creciente conciencia de que la seguridad de la información es simplemente una faceta de una multitud de riesgos que son relevantes para TI y los procesos del mundo real que soporta. "La ciberseguridad está estrechamente ligada al avance de la tecnología. Solo se demora lo suficiente para que los incentivos como los mercados negros evolucionen y se descubran nuevas vulnerabilidades. No hay un final a la vista para el avance de la tecnología, por lo que podemos esperar lo mismo de la ciberseguridad. . "

ISACA 's de Riesgos de TI marco lazos riesgos de TI a la gestión del riesgo empresarial .

El análisis de riesgos del deber de cuidado (DoCRA) evalúa los riesgos y sus salvaguardas y considera los intereses de todas las partes potencialmente afectadas por esos riesgos.

Petróleo y gas natural

Para la industria de petróleo y gas en alta mar, la gestión del riesgo operativo está regulada por el régimen de casos de seguridad en muchos países. Las herramientas y técnicas de identificación de peligros y evaluación de riesgos se describen en la norma internacional ISO 17776: 2000, y organizaciones como la IADC ( Asociación Internacional de Contratistas de Perforación ) publican pautas para el desarrollo de casos de salud, seguridad y medio ambiente (HSE) que se basan en el Norma ISO. Además, los reguladores gubernamentales suelen esperar representaciones esquemáticas de eventos peligrosos como parte de la gestión de riesgos en las presentaciones de casos de seguridad; estos se conocen como diagramas de pajarita (consulte Teoría de redes en la evaluación de riesgos ). La técnica también es utilizada por organizaciones y reguladores en minería, aviación, salud, defensa, industria y finanzas.

Sector farmacéutico

Los principios y herramientas para la gestión de riesgos de calidad se están aplicando cada vez más a diferentes aspectos de los sistemas de calidad farmacéutica. Estos aspectos incluyen los procesos de desarrollo, fabricación, distribución, inspección y presentación / revisión a lo largo del ciclo de vida de sustancias farmacéuticas, productos farmacéuticos, productos biológicos y biotecnológicos (incluido el uso de materias primas, disolventes, excipientes, materiales de empaque y etiquetado en productos farmacéuticos, productos biológicos y biotecnológicos). La gestión de riesgos también se aplica a la evaluación de la contaminación microbiológica en relación con los productos farmacéuticos y los entornos de fabricación de salas blancas.

Comunicación de riesgos

La comunicación de riesgos es un campo académico interdisciplinario complejo relacionado con los valores fundamentales de las audiencias objetivo. Los problemas para los comunicadores de riesgos incluyen cómo llegar a la audiencia destinataria, cómo hacer que el riesgo sea comprensible y relacionado con otros riesgos, cómo respetar adecuadamente los valores de la audiencia relacionados con el riesgo, cómo predecir la respuesta de la audiencia a la comunicación, etc. Un objetivo principal de la comunicación de riesgos es mejorar la toma de decisiones colectiva e individual. La comunicación de riesgos está relacionada de alguna manera con la comunicación de crisis , pero existen claras distinciones. La comunicación de riesgos se ocupa de los posibles riesgos y tiene como objetivo crear conciencia sobre esos riesgos para alentar o persuadir cambios en el comportamiento para aliviar las amenazas a largo plazo. Por otro lado, la comunicación de crisis tiene como objetivo crear conciencia sobre un tipo específico de amenaza, la magnitud, los resultados y los comportamientos específicos a adoptar para reducir la amenaza. Algunos expertos coinciden en que el riesgo no solo está enraizado en el proceso de comunicación sino que tampoco puede disociarse del uso del lenguaje. Aunque cada cultura desarrolla sus propios miedos y riesgos, estas interpretaciones se aplican solo a la cultura anfitriona.

La comunicación de riesgos y el compromiso comunitario (RCCE) es un método que se basa en gran medida en voluntarios, personal de primera línea y personas sin formación previa en esta área.

Ver también

Referencias

enlaces externos