Gartner advierte de la dispar gestión de riesgos en la empresa

Las diferentes formas de afrontar la gestión y valoración de los riesgos en una organización, a menudo de manera aislada, generan falta de transparencia e inconsistencia a la hora de considerar el propio riesgo. Gartner propone siete medidas para entender y gestionar el riesgo coherentemente.

Las empresas son cada vez más conscientes de la posibilidad de sufrir riesgos y esta mayor concienciación hace, a juicio de Gartner, que se revele las grandes diferencias en el uso y aplicación del término “riesgo” que hay dentro de la estructura empresarial, especialmente en el departamento de tecnologías. Según Paul Proctor, vicepresidente y analista de Gartner, “el término riesgo se ha sido añadido a muchas funciones tradicionales de las TI como seguridad, continuidad de negocio, gestión y privacidad, sin que fuera acompañado de cambios en los procesos y metodologías usados para entender y gestionar el riesgo asociado a esas áreas”.

La disociación a la que se refiere Proctor “empobrece la implantación de gestión de riesgos como una disciplina, limitando su efectividad”. Asimismo, causa escasa transparencia entre los procesos y la falta de una visión completa del riesgo, necesario para valorar la exposición de la organización y las medidas para mitigar los efectos de esta situación. “Aunque no hay una única definición que valga para todas las organizaciones, es importante empezar desde un marco de trabajo común y global para eliminar solapamientos, evitar lagunas de cobertura y garantizar el buen gobierno”.

Además, la consultora ha elaborado una lista de recomendaciones para que los responsables de TI puedan entender y gestionar los riesgos de manera que contribuyan a la gestión de toda la organización: - Implementar un marco de trabajo para la valoración y monitorización de riesgos

- Establecer las tareas de los directores de riesgo según sus áreas de responsabilidad

- Identificar y definir los riesgos a los que se expone la empresa y lo que constituye un evento de riesgo o “casi” para que esos incidentes puedan ser asociados a riegos específicos

- Determinar el nivel de amenaza y centrarse en los riesgos con mayor nivel de impacto en el rendimiento

- Establecer niveles de control de procesos proporcionales a la amenaza percibida.

- Registrar y guardar información sobre incidentes de riesgo o posibles sucesos

- Realizar valoraciones de riesgo periódicas para determinar cambios en el perfil de riesgos de operación y el rendimiento del control de evaluación.



Contenido Patrocinado

Fernando Rubio Román, CTO de Microsoft España. TECNOLOGÍA
Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?

 

 
Cobertura de nuestros encuentros
 
 
 
 
Lee aquí nuestra revista de canal

DealerWorld Digital