Documente Academic
Documente Profesional
Documente Cultură
1. Utiliza una herramienta que te permita considerar todos los tipos de elementos que hayas
decidido que van a participar en el análisis, así como sus dependencias. Debe permitir definir
con mucho detalle algunos de ellos, incluso hacer un cálculo de su importancia para la
organización, y para otros no tanto, por ejemplo, heredar de forma automática la importancia
de otros elementos con los que está relacionado.
2. La herramienta debe permitir configurar las diferentes metodologías de análisis que se
hayan considerado para cada tipo de análisis. Es posible que el análisis de riesgos financieros
se realice con una metodología diferente al análisis de riesgos de seguridad de la
información. Ambas deberán poder convivir para aplicarse a los respectivos análisis. Así
haremos los análisis de forma simultánea si así lo deseamos.
3. Es habitual que muchas personas tengan que intervenir en el proceso para la valoración de
los riesgos. Una herramienta eficiente nos proporcionará la posibilidad de obtener
esta valoración a través de encuestas, de forma rápida y directa para cada persona.
Posteriormente, la consolidación de resultados se realizará de forma automática.
4. Una vez obtenidos todos los riesgos, la herramienta debe ser capaz de presentar los
resultados a gusto del consumidor. En forma de tabla para, por ejemplo, un análisis
detallado o con diferentes gráficas de nivel ejecutivo aplicando diferentes filtros y
preferencias. Todo ello con la posibilidad de recalcular de forma rápida el análisis de riesgos
completo en caso de que necesitemos ajustar algún aspecto del proceso.
5. Elige una herramienta que posibilite la definición del nivel de riesgo aceptable por la
organización de forma flexible. Puede ser de forma global para la organización, por áreas de
negocio, o elemento a elemento. Seguramente se realizará de diferente forma para cada tipo
de análisis.
6. Queremos informes y registros a medida, no los que nos impongan. Nuestra herramienta
debe permitir configurar la información que queremos que aparezca en los diferentes tipos
de informes que necesitaremos, tanto del resultado final como de cualquier fase del proceso
de análisis y gestión de los riesgos.
7. Hablando de la gestión de riesgos, una vez hayamos terminado el análisis definiremos
un plan de tratamiento vinculando cada acción de mejora con los riesgos que trate.
Elegiremos una herramienta que además nos permita optimizarlo de forma que podamos
simular cómo sería el mapa de riesgos final una vez ejecutado el plan, y ajustar así las
acciones para conseguir un resultado óptimo.
8. El paso final de la gestión de riesgos es la obtención del riesgo residual una vez que el plan
de tratamiento se ha finalizado. La herramienta elegida realizará este cálculo de forma
automática según la eficacia que se establezca para las acciones de mejora del plan de
tratamiento. Evitaremos así la tediosa revisión de todos y cada uno de los riesgos tratados
para recalcular su valor actual.
Si, como gestor de los riesgos de tu organización, cuentas con una herramienta como
GlobalSUITE – Risk Management que cubre todos estos aspectos, te felicito, seguro que tu
gestión es un factor útil y válido para la estrategia de tu organización, a la vez que consigues un
análisis de gestión de riesgos eficaz y eficiente.
PRL
22301, de continuidad de negocio.
27001, sobre seguridad de la información.
20000
PIC
Basilea, Solvencia, COSO, SOX, Banco de España, Buen Gobierno.
14971
PCI-DSS, sobre seguridad en transacciones de tarjetas de crédito.
9001, sobre calidad.
14001, sobre medioambiente.
PMP, PMBOK, 21500
MAAGTIC, AS/NZS 4360
NTC 5254, MECI, GOB. LÍNEA.
Estas normas afectan a diferentes aspectos gestionados por distintas áreas dentro de las
compañías. No obstante, una visión integrada permite la Gestión de Riesgos empresarial.
Las normativas a las que están sujetas las organizaciones permiten tener una visión sobre los
riesgos a los que están expuestas. La definición del apetito al riesgo, tolerancia y límites se
realiza a partir de estas normas.
“Organizaciones de todos los tipos y tamaños se enfrentan a factores e influencias internas y
externas que hacen incierto saber si y cuándo conseguirán sus objetivos. La incidencia que esta
incertidumbre tiene sobre la consecución de los objetivos de una organización constituye el
riesgo”, según ISO 31000. La implementación de normas como ISO 31000 proporcionan
beneficios a las compañías.
La elección del modelo va acompañada de la necesidad de contar con profesionales con criterio
para incorporar los datos a estas herramientas. Además, implica el desarrollo de una
metodología para el tratamiento de los resultados proporcionados por estos modelos.
El plan de acción para la Gestión de Riesgos Ambientales puede ser más efectivo, cuando se
elimina el riesgo o se sustituye por otro de menor riesgo; o menos efectivo, con procedimientos
operacionales, planes de mantenimiento y de emergencia.