Gartner advierte de la dispar gestión de riesgos en la empresa
Las diferentes formas de afrontar la gestión y valoración de los riesgos en una organización, a menudo de manera aislada, generan falta de transparencia e inconsistencia a la hora de considerar el propio riesgo. Gartner propone siete medidas para entender y gestionar el riesgo coherentemente.
Las empresas son cada vez más conscientes de la posibilidad de sufrir riesgos y esta mayor concienciación hace, a juicio de Gartner, que se revele las grandes diferencias en el uso y aplicación del término “riesgo” que hay dentro de la estructura empresarial, especialmente en el departamento de tecnologías. Según Paul Proctor, vicepresidente y analista de Gartner, “el término riesgo se ha sido añadido a muchas funciones tradicionales de las TI como seguridad, continuidad de negocio, gestión y privacidad, sin que fuera acompañado de cambios en los procesos y metodologías usados para entender y gestionar el riesgo asociado a esas áreas”.
La disociación a la que se refiere Proctor “empobrece la implantación de gestión de riesgos como una disciplina, limitando su efectividad”. Asimismo, causa escasa transparencia entre los procesos y la falta de una visión completa del riesgo, necesario para valorar la exposición de la organización y las medidas para mitigar los efectos de esta situación. “Aunque no hay una única definición que valga para todas las organizaciones, es importante empezar desde un marco de trabajo común y global para eliminar solapamientos, evitar lagunas de cobertura y garantizar el buen gobierno”.
Además, la consultora ha elaborado una lista de recomendaciones para que los responsables de TI puedan entender y gestionar los riesgos de manera que contribuyan a la gestión de toda la organización: - Implementar un marco de trabajo para la valoración y monitorización de riesgos
- Establecer las tareas de los directores de riesgo según sus áreas de responsabilidad
- Identificar y definir los riesgos a los que se expone la empresa y lo que constituye un evento de riesgo o “casi” para que esos incidentes puedan ser asociados a riegos específicos
- Determinar el nivel de amenaza y centrarse en los riesgos con mayor nivel de impacto en el rendimiento
- Establecer niveles de control de procesos proporcionales a la amenaza percibida.
- Registrar y guardar información sobre incidentes de riesgo o posibles sucesos
- Realizar valoraciones de riesgo periódicas para determinar cambios en el perfil de riesgos de operación y el rendimiento del control de evaluación.