Administracin de riesgo:

Para hablar de administracin de riesgos es preciso primero intentar una definicin de

RIESGO.
Riesgo se define como la posibilidad de que las expectativas positivas para un sistema
orientado al logro de objetivos no se realicen.
En esta definicin se encuentran los tres elementos esenciales del riesgo, como son:

La incertidumbre;

Las consecuencias indeseadas para un sistema;

El cambio en las circunstancias existentes. Si bien en algunas circunstancias el riesgo

es totalmente inmanejable, por estar por completo fuera de nuestro control; es el
hecho de que algo debe cambiar antes de que ocurra un desastre lo que hace posible la
administracin de riesgos, ya que de alguna manera es posible influenciar en aquellos
factores que deben cambiar. Por ejemplo, nada podemos hacer para evitar que ocurra
un terremoto, pero si podemos levantar construcciones ms slidas y seguras frente a
la materializacin de dicho fenmeno.

Segn Peter Drucker, tratar de eliminar el riesgo en las empresas es algo intil. El riesgo es
algo inherente al hecho de comprometer recursos actuales en busca de resultados futuros. De
hecho, el progreso econmico se define como la habilidad de tomar riesgos.
La administracin de riesgos se puede definir entonces como el proceso de identificacin,
medida y administracin de los riesgos que amenazan la existencia, los activos, las ganancias
o al personal de una organizacin, o los servicios que sta provee.
El principal objetivo de la ciencia de la administracin de riesgos debe ser el de permitirle a
la organizacin tomar los riesgos adecuados, proveyendo el conocimiento y la comprensin
de dichos riesgos, identificando los recursos y esfuerzos necesarios para alcanzar los
resultados deseados, movilizando las energas necesarias para ello y midiendo los resultados
contra las expectativas presupuestas; adems de proveer los medios para la temprana
deteccin y correccin de decisiones erradas o inadecuadas.

Tipos de Riesgos
La palabra riesgo ha sido utilizada de manera indistinta para referirse a varias situaciones
diferentes. Para efectos del proceso de administracin de riesgos es preciso diferenciar el
concepto de riesgo y su definicin bsica, del concepto de AMENAZA, la cual se entiende
como la percepcin que se tiene de un peligro.
Los riesgos se clasifican segn los diversos criterios aplicables a cada situacin.
Riesgo Subjetivo: Es la percepcin particular que una persona posee sobre un riesgo. Puede
tener o no relacin directa con la verdadera probabilidad de ocurrencia. Dicha percepcin
puede verse afectada por factores como:

La potencial severidad de sus consecuencias;

El grado de conocimiento de la persona respecto al riesgo;

La familiaridad con el riesgo

Factores sicolgicos que predisponen;

El grado de aversin al riesgo.

Riesgo aceptable: Es el nivel de riesgo subjetivo que un individuo u organizacin estn

dispuestos a aceptar.
Riesgos puros: Son aquellos cuya materializacin siempre representarn una prdida, nunca
una utilidad.
Riesgos especulativos: Pueden producir ganancias o prdidas. La mayora de los riesgos
asumidos por las organizaciones son especulativos.
Los principios bsicos de la administracin de estos dos tipos de riesgos son esencialmente
los mismos, pero las tcnicas de administracin de riesgos puros se han desarrollado en forma
separada de las de administracin de riesgos financieros y especulativos. Esto refleja la
tendencia de muchas empresas que encuentran operacionalmente conveniente para la
administracin de cada tipo de riesgo su manejo por diferentes reas. No obstante, la frontera

entre los dos tipos de riesgos a veces no est claramente definida. Tal es el caso del riesgo
poltico.
Riesgos estticos: Son aquellos que siempre estn presentes en un sistema ordenado. Los
riesgos de rayo y otros fenmenos naturales son ejemplos de este tipo de riesgos; los cuales a
su vez caen dentro de la categora de riesgos puros.
Riesgos dinmicos: Son aquellos que cambian y se transforman al ritmo que cambia el
sistema mismo. Los cambios econmicos, polticos, sociales, legales, tecnolgicos y
ambientales pueden crear nuevos riesgos o modificar los existentes. Los riesgos dinmicos
usualmente son tambin especulativos, pero incluyen adems una categora especial de
riesgos puros: los riesgos de responsabilidad, los cuales dependen enteramente del desarrollo
de la legislacin.
Riesgos fundamentales: Son aquellos que pueden afectar a la totalidad o a la mayor parte de
una sociedad, como son los desastres naturales o factores econmicos o polticos de amplio
espectro, como las guerras o la recesin. Las organizaciones usualmente tienen poco control
sobre este tipo de riesgos y su administracin se concentra en reducir sus efectos.
Riesgos particulares: Son aquellos que de manera directa pueden afectar a una organizacin,
los cuales pueden ser controlables en alguna medida.
De acuerdo con el tipo de amenaza que puede materializarse, se tiene la siguiente
clasificacin:

Riesgos fsicos: incluyen las lesiones o muerte de personas y todas las formas de
prdida o dao de propiedades. Las causas de prdidas fsicas son usualmente el
resultado de la materializacin de peligros comunes, como incendio, explosin,
terremoto, colisin, contaminacin, rayo. Etc.; pero tambin puede ser el resultado del
incendio intencional, robo, actos mal intencionados o daos causados por error
humano.

Riesgos de responsabilidad: Los riesgos de responsabilidad pueden provenir de

reclamaciones de los empleados, de los clientes o proveedores y del pblico en
general. Si bien dichas reclamaciones pueden resultar de factores mencionados en la
clasificacin anterior, tambin pueden relacionarse con los productos o servicios que

presta la empresa, los efectos de la responsabilidad contractual con los clientes,

proveedores u otros y el efecto de regulaciones nacionales o internacionales.

Riesgos de interrupcin de negocios: Fenmenos de esta naturaleza suelen seguir a

la materializacin de los riesgos fsicos de responsabilidad antes descritos. Aqu es
necesario considerar el efecto de potenciales prdidas debido a factores externos, tales
como falta de suministros, dependencia de sistemas electrnicos, especialmente en
operaciones altamente sistematizadas; adems de las interrupciones forzadas por
decisiones de tipo legal (por ejemplo debido a la contaminacin). Otra causa de
interrupcin de negocios podra ser la prdida de mercado.

Riesgos sociales: El efecto de los cambios sociales es una amenaza creciente para las
organizaciones. Esta categora incluye los cambios en los hbitos de consumo, el
desempleo, la recesin, el vandalismo y todas las manifestaciones de fraude.

Riesgos polticos: Los cambios bruscos en las polticas gubernamentales, las nuevas
legislaciones, las decisiones proteccionistas, los efectos de la inflacin, los cambios
bruscos en la poltica monetaria, la imposicin de nuevos aranceles de importacin y
en general, todo cambio en las reglas de juego del sector.

Riesgos ambientales: La identificacin de los riesgos ambientales implica el

reconocimiento de cambios en el medio ambiente con cierta anticipacin. Debern
considerarse los efectos del clima, el agotamiento de los recursos, la necesidad de
elegir fuentes alternativas de energticos y la posible necesidad de un cambio en la
tecnologa.

Riesgos de administracin: Una administracin deficiente puede tener un efecto

catastrfico en las organizaciones, aunque su costo muchas veces permanezca oculto
hasta que los resultados de una pobre administracin se hacen evidentes en los
resultados generales de la organizacin. Una administracin inadecuada se traducir
en desperdicios, mala planeacin, fallas en almacenamiento, errores en la seleccin y
polticas de personal, etc. Una planeacin inadecuada puede determinar la
imposibilidad de la empresa para mantenerse al da con los cambios tecnolgicos y
administrativos y un errado desarrollo de nuevos productos, servicios y alternativas,
lo cual puede determinar una irremediable prdida de mercado.

ALCANCES DEL PROCESO DE ADMINISTRACIN DE RIESGOS

La mayora de los riesgos descritos anteriormente pueden ser identificados y administrados.
Puede decirse que los riesgos fsicos, de responsabilidad, de interrupcin de negocios y
administrativos pueden ser directamente manejados por una organizacin. Los riesgos
sociales, polticos y ambientales rara vez pueden ser manejados desde el interior de una
empresa. Sin embargo, si es posible identificar y anticipar las consecuencias de estos riesgos
y tomar algunos cursos de accin para reducir la Vulnerabilidad de la organizacin en sus
reas ms sensibles.
Antes de considerar mtodos de identificacin de riesgos en gran detalle, es de utilidad
definir los propsitos bsicos de dicho proceso:
1. Obtener informacin acerca de los tipos de prdidas que se pueden presentar en una
organizacin;
2. Comprender de manera cabal la filosofa de la empresa.
Mucho se ha discutido acerca de las dificultades de orden prctico que presentan los procesos
de administracin de riesgos. Esta dificultad se incrementa de manera notable por la
necesidad de enmarcar esta actividad dentro de los lmites de la relacin aceptable
costo/beneficio y la aceptacin de los mtodos de administracin por parte de la alta gerencia
y de los diferentes procesos. Si bien para efectos prcticos nos referiremos a la identificacin,
medida y administracin de riesgos como tres actividades separadas, en realidad resulta muy
difcil separarlas.
La mayora de las tcnicas usadas en administracin de riesgos han sido adaptadas de otras
reas de la actividad industrial y comercial. Lo que resulta nuevo acerca del concepto de
administracin de riesgos es el uso integrado de las tcnicas disponibles para identificar,
medir y administrar los riesgos.
Un proceso tpico de administracin de riesgos consta de los siguientes pasos:
1. Identificacin: es el reconocimiento de las principales amenazas que se ciernen sobre
una organizacin. Algunas de estas amenazas pueden ser obvias, en tanto que otras
pueden permanecer ocultas o no ser fcilmente reconocibles.

2. Habiendo identificado las principales amenazas, el siguiente paso consiste en

cuantificarlas. Por cuantificacin se entiende el proceso de establecer qu tan seria es
la amenaza, en trminos de frecuencia y severidad.
3. Despus de terminado el proceso de cuantificacin, el siguiente paso es el de preparar
un plan para el manejo econmico de los riesgos. Ello puede incluir la
determinacin del mejor camino a tomar ante un riesgo: su eliminacin o bien su
administracin. Si se decide administrarlo, debern prepararse las siguientes
estrategias:
Prevencin: Orientada a reducir la probabilidad de ocurrencia de un evento indeseado.
Ejemplos: manuales de procedimiento, polticas empresariales, capacitacin.
Proteccin: Es el conjunto de acciones, elementos y equipos destinados a reducir las
consecuencias de la materializacin de un riesgo, tales como extintores, hidrantes, fosos de
seguridad, rociadores automticos.
Control: Son las acciones de combate del evento en su ms temprana manifestacin, tales
como las brigadas de bomberos, los comits de crisis, etc.
Atencin: Son aquellas acciones orientadas a recuperar los recursos afectados por un evento,
con el fin de reducir las consecuencias; tales como planes de evacuacin, primeros auxilios,
remplazo de personal indispensable, etc.
Transferencia: Existen dos maneras de transferencia. La transferencia del riesgo, por
ejemplo cuando se contrata el transporte de dinero y valores con una firma especializada; o
cuando se transfiere el efecto econmico de la materializacin de un evento, como en el caso
de la contratacin de seguros. En la primera forma de transferencia, el riesgo queda a cargo
de un tercero; en la segunda forma, se transfiere el efecto econmico, pero la responsabilidad
de administrar el riesgo fsico contina en cabeza de la organizacin.
Podemos describir la administracin de riesgos como un mtodo formal de planeacin. Como
tal es similar a una cantidad de otras tcnicas de administracin, incluyendo la administracin
por procesos, el control presupuestal y el anlisis de rutas crticas. La administracin de
riesgos es el complemento de estas tcnicas y a su vez puede servirse de ellas. Por ejemplo,

los objetivos definidos en la administracin por procesos pueden incluir elementos de

administracin de riesgos.

QUE ES LA ADMINISTRACION DE RIESGOS?

En esta entrega nos pareci oportuno ilustrar sobre este tema que a menudo es
soslayado o menospreciado en muchas de las organizaciones de nuestra regin.
La Administracin del Riesgo Empresarial (Enterprise Risk Management-ERM) es el proceso
por el cual la direccin de una empresa u organizacin administra el amplio espectro de los
riesgos a los cuales est expuesto (tanto sean de mercado como operacionales) de acuerdo al
nivel de riesgo al cual estn dispuestos a exponerse segn sus objetivos estratgicos. As, ya
en el terreno del impacto de la TI sobre este tema, la evaluacin de riesgos y vulnerabilidades
ayuda a identificar y evaluar los riesgos operativos, poniendo nfasis en los activos de IT
fsicos y lgicos, pudiendo incluir una revisin de las instalaciones y la seguridad de los
elementos lgicos y fsicos. Uno de los desafos claves es recolectar y analizar numerosos
datos (de acuerdo al rango de riesgos definido), as Riesgos, Conformidad a Normas y
Funciones de TI enfrentan la paradoja de tener que disponer de mayor volumen de datos de
los sistemas corporativos para contar con ms informacin dinmica y compleja, pero al
mismo tiempo seguir manteniendo los costos de implementacin y los riesgos bajo control.
De esta manera, se obtiene una mayor comprensin de las exposiciones que suponen los
mayores riesgos en la interrupcin de su empresa, de modo que se puedan implementar las
tcnicas

de

mitigacin

apropiadas.

Desafos
A medida que dependen cada vez ms del continuo funcionamiento de los sistemas de
informacin, las empresas actuales enfrentan una creciente exposicin a los riesgos
informticos. En el mundo actual, hasta la mxima direccin est preocupada por los riesgos
informticos, ya que la tecnologa informtica claramente sostiene cada proceso comercial
de la empresa.
Los riesgos informticos tpicos incluyen prdida de productividad o negocios debido al
tiempo de inactividad, responsabilidad por brechas de seguridad que exponen la informacin
de los clientes, multas por violaciones de normas y la imposibilidad de defenderse de
demandas debido a la conservacin inadecuada de registros. No todos los riesgos provienen
de sucesos inevitables, como una inundacin o un terremoto. Muchos de los riesgos

informticos son provocados por contratiempos operacionales, procesos inadecuados,

mayores requisitos normativos u otros factores ms controlables.
Soluciones
Para evitar ello, es preciso combinar un conjunto de las mejores prcticas que se desprenden
de numerosas organizaciones, grandes y complejas, para hacer frente a los riesgos
informticos de sus entornos a los efectos de poner en marcha una administracin de riesgos
informticos efectiva mediante priorizar y planificar opciones de mitigacin, calcular los
impactos comerciales de los riesgos informticos, disear soluciones, alinear los riesgos
informticos y los costos con la empresa para optimizar las inversiones y construir una
capacidad unificada para administrar los riesgos informticos de manera continua.
Beneficios
Permite identificar los activos empresariales que estn en mximo riesgo, valuar las
vulnerabilidades y los impactos potenciales, y proponer resguardos y tcticas de mitigacin,
lo que permitir:
Priorizar y establecer niveles de riesgo para sus procesos y recursos empresariales crticos.
Pasar de un enfoque de mitigar el riesgo a prevenir proactivamente las fallas.

Tomar

decisiones

ms

informadas

sobre

cmo

proteger

su

empresa.

Evaluar las tcticas y los costos de la administracin de riesgos relacionados con los
diferentes niveles de proteccin.
Prepararse adecuadamente para las auditoras de las agencias de control
Problemas que se atacan.
Identificar eventos o amenazas que podran tener impacto en la continuidad de las
operaciones empresariales, en la imagen o en la reputacin de la marca, y la probabilidad de
que

ocurran.

Realizar un anlisis detallado de amenazas o establecer planes de avance para mitigar

riesgos.
Determinar cmo las nuevas iniciativas empresariales o la nueva tecnologa tendrn
impacto en la empresa.
Establecer planes de avance para mitigar riesgos.

Identificar

las

exposiciones

con

respecto

al

cumplimiento

reglamentario.

Un importante Estudio identifica los mitos comunes que contribuyen a las fallas de TI
Symantec dio a conocer en enero su Informe de Administracin de Riesgos de TI, Volumen
II, el cual revela que la administracin de riesgos de TI est cobrando ms importancia, pero
tambin

menciona

que

siguen

existiendo

algunos

mitos

sobre

el

tema.

An cuando los resultados muestran que los profesionales estn adoptando un enfoque ms
equilibrado que incluye riesgos de disponibilidad, seguridad, cumplimiento y desempeo, los
malos entendidos de la administracin de riesgos de TI pueden producir fallas potenciales y,
como consecuencia, impactar la continuidad del negocio.
El informe tambin indica que los problemas en los procesos generan ms de la mitad de los
incidentes de TI, mientras que el departamento de TI generalmente da poca importancia a la
frecuencia con que se presentan los incidentes de prdida de datos. El informe est basado en
el anlisis de ms de 400 encuestas realizadas a profesionales de todo el mundo, en el que se
identifican importantes aspectos, tendencias y anlisis al tiempo que disipa los cuatro mitos
asociados a los riesgos de TI, entre los cuales estn:

1.- La administracin de riesgos de TI est enfocada slo en la seguridad Contrario a las

percepciones tradicionales que generalmente asocian los riesgos de TI con los riesgos de
seguridad, los resultados de la encuesta muestran el surgimiento de una visin ms amplia
entre los profesionales de TI. Un 78% de los participantes calificaron los riesgos de
disponibilidad como crticos o graves, mientras que los riesgos de seguridad, de
desempeo y de cumplimientos obtuvieron una calificacin de 70, 68 y 63% respectivamente.

2.- La administracin de riesgos de TI es un proyecto El mito de que el control de riesgos

de TI se puede realizar en un slo proyecto o incluso como una serie de ejercicios puntuales
por periodos o aos de presupuestos, desconoce la naturaleza dinmica del entorno de riesgos
internos y externos de TI. La administracin de riesgos debe verse como un proceso continuo
para mantener la estabilidad ante el cambiante panorama que los negocios enfrentan
actualmente.
3.- La tecnologa por s sola puede manejar los riesgos de TI Los incidentes de seguridad,
cumplimiento, disponibilidad y desempeo de TI atacan a la organizacin moderna a una

velocidad alarmante. El reporte muestra que las organizaciones ms efectivas tienen un

enfoque ms integral. Sin embargo, muchas organizaciones parecen estar fallando en la
implementacin de controles fundamentales de riesgos.
4.- La administracin de riesgos de TI se ha convertido en una disciplina formal El
reporte deja claro que la administracin de riesgos de TI es una disciplina en evolucin, pues
se basa en la experiencia acumulada de los individuos y las organizaciones que se van
adaptando a los cambios en el ambiente de negocios y tecnologa. El informe revel una
mayor comprensin entre los profesionales sobre cmo la administracin de riesgos de TI
incorpora elementos de manejo de riesgos en la operacin, control de calidad y
gobernabilidad de las mismas.