10 pasos para crear un plan de Gestión de Riesgos

Sophie Danby septiembre 8, 2023
- 16 min read

Un plan de Gestión de Riesgos contribuye a mantener segura a la organización. A partir de un conjunto de directrices podrás delinear un esquema de tus actividades, garantizar la asunción de las responsabilidades por parte de las personas involucradas y evitar posibles interrupciones o multas.  

¿No sabes por dónde comenzar? No te preocupes. Sigue leyendo el artículo para obtener una visión completa de los cuatro componentes básicos que necesitas para poner en práctica la Gestión de Riesgos, junto con algunos recursos para crear un plan eficaz (incluyendo una plantilla). 

Comencemos.

 

 

¿Qué es un plan de Gestión de Riesgos?

Un plan de Gestión de Riesgos es un documento que registra y describe exhaustivamente los procedimientos para mitigar y abordar dichos riesgos en una organización. 

El plan, que abarca desde el alcance y el ciclo de vida de la Gestión de Riesgos hasta la documentación y las auditorías, requiere el aporte y la colaboración de varios equipos, como la alta dirección, el jurídico, el responsable de la gobernanza, el de cumplimiento y riesgos, de modo de crear un enfoque que se alinee con los objetivos empresariales y acate las obligaciones normativas o legales. 

Roles y responsabilidades del plan

Tu plan requiere roles y responsabilidades claramente definidos para saber qué se espera de cada persona involucrada y para que todo esté controlado.

Rol Responsabilidad
Gerente de Responsabilidades Responsable diario de la Gestión de Riesgos, así como de la creación de dicho plan.
Analista de Riesgos Responsable diario de la Gestión de Riesgos, así como de la creación de dicho plan.
Propietario del Riesgo Encargado de las medidas para mitigar cada riesgo.
Equipo de Alta Dirección Aprueba el plan y el umbral de riesgo global (establece la tolerancia del riesgo).
Equipo de Cumplimiento Proporciona conocimientos especializados del tema. También garantiza que el plan considere todas las obligaciones desde el punto de vista del cumplimiento.
Equipo Jurídico Aporta saberes especializados. A su vez, asegura que el plan cumpla con las obligaciones desde la perspectiva jurídica.
Equipo Financiero Ofrece conocimientos especializados y garantiza que el plan contemple los requerimientos desde la visión financiera.
Equipo RR.HH Proporciona saberes especializados. También asegura que el plan acate las obligaciones desde el punto de vista del personal y que las políticas de RR.HH. se ajusten a la estrategia general de riesgos.
IT Identifica y sugiere actividades para mitigar los riesgos de seguridad de la información.

 

La importancia de contar con un plan de Gestión de Riesgos de IT

Todas las organizaciones del mundo deben revisar el funcionamiento de su infraestructura de IT debido al riesgo constante al que se enfrentan a diario. La solución es contar con un plan de Gestión de Riesgos que, además de documentar la forma de abordarlos, proporciona gobernanza y estructura. 

En concreto, las ventajas de disponer de un plan de Gestión de Riesgos son las siguientes:

  • Mejora la organización: las actividades de riesgo se recopilan en un único lugar, de modo que todos saben a dónde dirigirse para obtener información sobre el tema.

  • Apoya la seguridad informática o de la información: al identificar las vulnerabilidades y amenazas potenciales a los sistemas de IT, un plan exhaustivo permite a la empresa poner en marcha las medidas adecuadas para hacerle frente.

  • Garantiza mayor eficacia en el cumplimiento y en los requisitos normativos: muchos sectores deben acatar ciertas disposiciones y cumplir con requerimientos específicos (por ejemplo, SOX). Un plan de Gestión de Riesgos ayuda a las empresas a acatar todo esto, abordando dichos riesgos relacionados con la protección de datos, la gobernanza y la seguridad informática. 

  • Permite un ahorro en los costos: contribuye a identificar y tratar los riesgos más rápido, reduciendo la probabilidad de que se produzcan incidentes que impliquen gastos, como caídas del servicio o filtraciones de datos. También ayuda a optimizar las compras en IT priorizando los activos y recursos en función de la exposición al riesgo y la criticidad.

  • Asegura más transparencia y una mejor toma de decisiones: si los riesgos están tipificados y son contemplados en un plan, todos serán conscientes de ellos. Como consecuencia, podrán llegar a determinaciones más precisas, basadas en información sólida y confiable.

  • Cambia hacia un enfoque más proactivo: una planificación activa sobre la forma de identificar, evaluar y responder a los riesgos te permite adelantarte a los acontecimientos y adoptar un abordaje proactivo, en lugar de reactivo. Esto también favorece la continuidad de la actividad al descubrir los riesgos potenciales que podrían interrumpir los servicios.

  • Aporta una mayor confianza: un plan de Gestión de Riesgos implica que la empresa se compromete a asumir y administrar dichos riesgos de forma eficaz. Además, este enfoque sólido y proactivo constituye un elemento diferenciador en el mercado para los clientes y las partes interesadas.
Ahorra horas de búsqueda con IT Pulse, nuestro newsletter en español Recibe las últimas noticias del mundo IT, gratis y en tu bandeja de entrada.

Los 4 componentes de un plan de Gestión de Riesgos

Un plan de Gestión de Riesgos suele incluir cuatro componentes:

  • Identificación del riesgo: establece cómo se deben reconocer. ¿El personal sabe cómo informarlos? ¿Existen relaciones con los procesos adecuados? Por ejemplo, si tu servicio de IT descubre un incidente que incluye un riesgo para la organización, ¿conocen cuál es la vía de escalamiento correcta?
  • Evaluación del riesgo: este paso ayuda a las organizaciones a priorizarlo en función de la probabilidad y el impacto. Una herramienta útil es definir una matriz de riesgos.
  • Mitigación del riesgo: ¿Cómo se lo tratará? ITIL 4 incorpora conocimientos específicos sobre la Gestión del Riesgo. En concreto, describe cuatro posibles respuestas principales ante el riesgo: mitigación, anulación, cambio y aceptación.
  • Supervisión del riesgo: a lo largo de su ciclo de vida para garantizar que no aumente y que se mantenga por debajo del nivel fijado para tu organización.

Cómo crear un plan de Gestión de Riesgos en 10 pasos

Para materializar los cuatro componentes del plan de Gestión de Riesgos, sigue estos pasos:

1. Define el alcance

Primero establece el alcance de tu plan de Gestión de Riesgos. Comienza por el área de exposición más significativa: la mayor fuente de riesgo o tu objetivo de cumplimiento más importante. A partir de ahí, amplíalo cuando se encuentre consolidado. 

Pero no intentes hacer demasiado a la vez; céntrate en un área de dominio sólida y ordénala. Siempre puedes añadir más cuando tu plan esté asentado y hayas tenido tiempo para reflexionar sobre el proceso, así como aquello que funciona y lo que no.

2. Asigna roles y responsabilidades

Como parte del plan de Gestión de Riesgos debes fijar roles y responsabilidades que resulten claros para todos. En un mundo ideal, es necesario codificarlos en una matriz RACI.

3. Establece un umbral de referencia

Si dispones de un equipo de auditoría interna, acude a él para revisar a fondo tu escenario de riesgos. Esto te proporcionará una línea de base sobre la que podrás construir tu plan, además de utilizarla como punto de comparación a medida que madure tu práctica. 

Otra cuestión fundamental es acordar el umbral de riesgo, que será diferente para cada organización. Asegúrese de que todos lo aprueban y de que quede reflejado en tu plan para consultarlo cuando sea necesario.  

4. Fija la forma de identificar los riesgos

Establece cómo identificarlos y notificarlos. Facilita esto último (el formulario de riesgos debe ser accesible y simple de encontrar en tu intranet). 

También crea puntos de contacto con otros procesos para señalarlos en forma rápida y sencilla si se descubre un riesgo. 

5. Acuerda una manera de evaluar los riesgos

Para priorizarlos y gestionarlos adecuadamente, debes consensuar una forma estándar de evaluar los riesgos. Una vía posible es utilizar una matriz de riesgos, basada en la probabilidad y el impacto. Esto elimina el error humano y garantiza que todos se examinen de forma coherente.

Probabilidad/ Impacto Menor Moderado Grave
Improbable Baja Media Alta
Probable Baja Media Alta
Muy probable Media Alta Alta

6. Adopta una respuesta

Se trata de su plan de acción para mitigar el riesgo si se produce el suceso. Trabaja con tus equipos de GRC y de la alta dirección para acordar la respuesta más adecuada en función del umbral de riesgo de tu organización. 

7. Lista los desencadenantes

Al crear tu plan de Gestión de Riesgos, crea una nómina de los desencadenantes de los riesgos para poder ser más proactivo a la hora de abordarlos.

8. Registra los riesgos

El registro de riesgos es un listado de los mismos, junto con los detalles sobre su probabilidad e impacto. Debe constituir la base del plan, ya que en él se recogen todos los que podrían amenazar a la organización. Además, se almacenan en una ubicación central y se utiliza para gestionarlos a lo largo de su ciclo de vida.

9. Considera planificar las contingencias

El panorama de riesgos es dinámico. Así, por ejemplo, la actividad de un nuevo proyecto podría introducir riesgos desconocidos en tu entorno. Por esa razón, debes contar con un plan de cambio. 

La planificación de contingencias también se aplica a la reclasificación de riesgos existentes en caso de cambios. Así que el proceso requiere flexibilidad para hacer frente a cualquier ajuste que deba realizarse.

10. Incorpora la mejora continua

Tu plan tiene que contemplar un ciclo de mejora continua que permita revisar y mejorar los procesos y procedimientos.

Como ves, un plan de Gestión de Riesgos implica definir y gestionar simultáneamente varios elementos. Una herramienta de Gestión de Activos de IT, como InvGate Asset Management, te ayudará a hacer el trabajo de manera más eficiente mediante la automatización de las actividades de Gestión de Riesgos.

Por ejemplo, puedes establecer Reglas de Salud que te notifiquen cuándo un activo en particular está en peligro, de modo de tomar las medidas adecuadas en consecuencia. También tienes la posibilidad de utilizar Smart Tags para recibir alertas cuando se instalen aplicaciones de software prohibidas.it-activos-vista-de-reglas-salud-invgate-insight

Ejemplo de un plan de Gestión de Riesgos de IT

Aquí tiene una plantilla de ejemplo de un plan de Gestión de Riesgos de IT:

Fase de planificación Actividades
Alcance
  • ¿Tus equipos de GRC, jurídico y de gestión verificaron que el ámbito de aplicación es apropiado y adecuado para la finalidad de tu organización?
  • ¿Se acordó y firmó por todas las partes interesadas?

Establecer un umbral de referencia

  • ¿Se auditó o revisó el panorama de riesgos en el último año?
  • ¿Se acordó el umbral de riesgo y fue aprobado por todas las partes interesadas?
Identificación de riesgos
  • ¿Se definió cómo comunicar los riesgos?
  • ¿Todos recibieron la formación adecuada?
  • ¿Existen fases en los procesos empresariales clave que incluyan actividades de gestión de riesgos?
  • ¿Es fácil utilizar el formulario de captura de riesgos?
Evaluación de riesgos
  • ¿Se evaluó el riesgo por un experto en la materia?
  • ¿Se utilizó la matriz de riesgos correcta?
Enfoque de la respuesta
  • ¿Se revisó y acordó la respuesta por parte de todas las partes interesadas?
  • ¿Se documentó dicha respuesta?
  • ¿Se comunicó a todos?
Roles y responsabilidades
  • Gestor de Riesgos
  • Analista de Riesgos
  • Propietario del Riesgo
  • Equipo de la Alta Dirección
  • Equipo GRC
Desencadenantes
  • ¿Se capturaron todos los posibles desencadenantes de cada evento de riesgo?
  • ¿Se documentó y comunicó la respuesta adecuada a cada evento desencadenante?
Resgistro de riesgos
  • ¿Se acordó dónde debe almacenarse el registro de riesgos?
  • ¿Se consensuó quién tiene acceso a escribir/editar?
  • ¿Cómo nos aseguramos de que el registro de riesgos se revisa y actualiza periódicamente?
Planes de contingencia
  • ¿Cómo actualizamos el registro de riesgos si un riesgo cambió?
  • ¿Cómo comunicamos a otras partes interesadas que el estado de un riesgo cambió?
Mejora continua
  • ¿Estamos seguros de que el proceso de gestión de riesgos satisface las necesidades de la empresa?
  • ¿Podemos realizar otro evento de referencia?
  • ¿Qué funciona bien?
  • ¿Qué se puede mejorar?
  • ¿Podemos adaptar algo o utilizar la automatización para que la gestión de riesgos sea más eficaz?

 

Resumen

Un plan de Gestión de Riesgos reúne el enfoque de la gestión de riesgos. Muchos elementos diferentes pueden amenazar el buen funcionamiento de tu organización. Es importante no sólo saber cuáles son, sino también su probabilidad, su impacto, cómo abordarlos y quién es el responsable.

Las distintas etapas expuestas en este artículo sirven de guía para abordar el proceso. Un plan garantiza un camino definido con actividades y soluciones adecuadas. Y, al mismo tiempo, destina funciones y responsabilidades específicas a las personas involucradas. 

Por último, no olvides que puedes automatizar varias tareas dentro de este plan con InvGate Asset Management. Solicita una prueba gratuita de 30 días y explora sus posibilidades.

Preguntas frecuentes

¿Cuáles son las tareas básicas de un plan de Gestión de Riesgos? 

Un plan de Gestión de Riesgos debe incluir la identificación, evaluación y gestión de dichos riesgos. También tiene un registro de riesgos para reunirlos todos en una ubicación única y central para que nada se pierda, ignore u olvide.

¿Con qué frecuencia debe realizarse un plan de Gestión de Riesgos? 

Para la mayoría de las organizaciones, una evaluación anual de riesgos podría cumplir con los marcos de mejores prácticas, apoyar el cumplimiento y reducir el escenario de amenazas. Sin embargo, es necesario comprobar siempre si existen normas legales, reglamentarias o de cumplimiento específicas a las cuales adherirse. 

A su vez, es aconsejable revisar las acciones delineadas por la Gestión de Riesgos al comienzo de cualquier proyecto nuevo significativo para proteger a tu empresa de los posibles riesgos relacionados con cambios o estas iniciativas.

¿Qué es un plan de Gestión de Riesgos de Cumplimiento? 

Un plan de Gestión de Riesgos de Cumplimiento reúne las responsabilidades de tu empresa en caso de incumplimiento, incluidas acciones legales, multas y daños a la reputación. También documenta las medidas de gestión adecuadas para mantener los riesgos de este tipo en un nivel aceptable.

¿Qué es un plan de contingencia en la Gestión de Riesgos? 

Un plan de contingencia en la Gestión de Riesgos es aquello que tenemos que hacer como empresa si se produce el riesgo de modo de disminuir el impacto en los clientes y en las partes interesadas. 

¿Qué es un plan de mitigación en la Gestión de Riesgos? 

Un plan de mitigación es la forma de reducir el impacto del riesgo. Un ejemplo podría ser cuando se caen teléfonos o tablets: para mitigar ese riesgo es posible utilizar una funda y un protector de pantalla de modo que el dispositivo no resulte dañado.

¿Cómo monitorear un plan de Gestión de Riesgos? 

El equipo de riesgos debe monitorear los planes de Gestión de Riesgos. Es fundamental que envíen periódicamente actualizaciones al equipo directivo para mantenerlos informados de todas las actividades importantes de riesgo.

Read other articles like this : ITAM, Gestión de riesgos