Un plan de Gestión de Riesgos contribuye a mantener segura a la organización. A partir de un conjunto de directrices podrás delinear un esquema de tus actividades, garantizar la asunción de las responsabilidades por parte de las personas involucradas y evitar posibles interrupciones o multas.
¿No sabes por dónde comenzar? No te preocupes. Sigue leyendo el artículo para obtener una visión completa de los cuatro componentes básicos que necesitas para poner en práctica la Gestión de Riesgos, junto con algunos recursos para crear un plan eficaz (incluyendo una plantilla).
Comencemos.
¿Qué es un plan de Gestión de Riesgos?
Un plan de Gestión de Riesgos es un documento que registra y describe exhaustivamente los procedimientos para mitigar y abordar dichos riesgos en una organización.
El plan, que abarca desde el alcance y el ciclo de vida de la Gestión de Riesgos hasta la documentación y las auditorías, requiere el aporte y la colaboración de varios equipos, como la alta dirección, el jurídico, el responsable de la gobernanza, el de cumplimiento y riesgos, de modo de crear un enfoque que se alinee con los objetivos empresariales y acate las obligaciones normativas o legales.
Roles y responsabilidades del plan
Tu plan requiere roles y responsabilidades claramente definidos para saber qué se espera de cada persona involucrada y para que todo esté controlado.
| Rol | Responsabilidad |
| Gerente de Responsabilidades | Responsable diario de la Gestión de Riesgos, así como de la creación de dicho plan. |
| Analista de Riesgos | Responsable diario de la Gestión de Riesgos, así como de la creación de dicho plan. |
| Propietario del Riesgo | Encargado de las medidas para mitigar cada riesgo. |
| Equipo de Alta Dirección | Aprueba el plan y el umbral de riesgo global (establece la tolerancia del riesgo). |
| Equipo de Cumplimiento | Proporciona conocimientos especializados del tema. También garantiza que el plan considere todas las obligaciones desde el punto de vista del cumplimiento. |
| Equipo Jurídico | Aporta saberes especializados. A su vez, asegura que el plan cumpla con las obligaciones desde la perspectiva jurídica. |
| Equipo Financiero | Ofrece conocimientos especializados y garantiza que el plan contemple los requerimientos desde la visión financiera. |
| Equipo RR.HH | Proporciona saberes especializados. También asegura que el plan acate las obligaciones desde el punto de vista del personal y que las políticas de RR.HH. se ajusten a la estrategia general de riesgos. |
| IT | Identifica y sugiere actividades para mitigar los riesgos de seguridad de la información. |
La importancia de contar con un plan de Gestión de Riesgos de IT
Todas las organizaciones del mundo deben revisar el funcionamiento de su infraestructura de IT debido al riesgo constante al que se enfrentan a diario. La solución es contar con un plan de Gestión de Riesgos que, además de documentar la forma de abordarlos, proporciona gobernanza y estructura.
En concreto, las ventajas de disponer de un plan de Gestión de Riesgos son las siguientes:
- Mejora la organización: las actividades de riesgo se recopilan en un único lugar, de modo que todos saben a dónde dirigirse para obtener información sobre el tema.
- Apoya la seguridad informática o de la información: al identificar las vulnerabilidades y amenazas potenciales a los sistemas de IT, un plan exhaustivo permite a la empresa poner en marcha las medidas adecuadas para hacerle frente.
- Garantiza mayor eficacia en el cumplimiento y en los requisitos normativos: muchos sectores deben acatar ciertas disposiciones y cumplir con requerimientos específicos (por ejemplo, SOX). Un plan de Gestión de Riesgos ayuda a las empresas a acatar todo esto, abordando dichos riesgos relacionados con la protección de datos, la gobernanza y la seguridad informática.
- Permite un ahorro en los costos: contribuye a identificar y tratar los riesgos más rápido, reduciendo la probabilidad de que se produzcan incidentes que impliquen gastos, como caídas del servicio o filtraciones de datos. También ayuda a optimizar las compras en IT priorizando los activos y recursos en función de la exposición al riesgo y la criticidad.
- Asegura más transparencia y una mejor toma de decisiones: si los riesgos están tipificados y son contemplados en un plan, todos serán conscientes de ellos. Como consecuencia, podrán llegar a determinaciones más precisas, basadas en información sólida y confiable.
- Cambia hacia un enfoque más proactivo: una planificación activa sobre la forma de identificar, evaluar y responder a los riesgos te permite adelantarte a los acontecimientos y adoptar un abordaje proactivo, en lugar de reactivo. Esto también favorece la continuidad de la actividad al descubrir los riesgos potenciales que podrían interrumpir los servicios.
- Aporta una mayor confianza: un plan de Gestión de Riesgos implica que la empresa se compromete a asumir y administrar dichos riesgos de forma eficaz. Además, este enfoque sólido y proactivo constituye un elemento diferenciador en el mercado para los clientes y las partes interesadas.
Los 4 componentes de un plan de Gestión de Riesgos
Un plan de Gestión de Riesgos suele incluir cuatro componentes:
- Identificación del riesgo: establece cómo se deben reconocer. ¿El personal sabe cómo informarlos? ¿Existen relaciones con los procesos adecuados? Por ejemplo, si tu servicio de IT descubre un incidente que incluye un riesgo para la organización, ¿conocen cuál es la vía de escalamiento correcta?
- Evaluación del riesgo: este paso ayuda a las organizaciones a priorizarlo en función de la probabilidad y el impacto. Una herramienta útil es definir una matriz de riesgos.
- Mitigación del riesgo: ¿Cómo se lo tratará? ITIL 4 incorpora conocimientos específicos sobre la Gestión del Riesgo. En concreto, describe cuatro posibles respuestas principales ante el riesgo: mitigación, anulación, cambio y aceptación.
- Supervisión del riesgo: a lo largo de su ciclo de vida para garantizar que no aumente y que se mantenga por debajo del nivel fijado para tu organización.
Cómo crear un plan de Gestión de Riesgos en 10 pasos
Para materializar los cuatro componentes del plan de Gestión de Riesgos, sigue estos pasos:
1. Define el alcance
Primero establece el alcance de tu plan de Gestión de Riesgos. Comienza por el área de exposición más significativa: la mayor fuente de riesgo o tu objetivo de cumplimiento más importante. A partir de ahí, amplíalo cuando se encuentre consolidado.
Pero no intentes hacer demasiado a la vez; céntrate en un área de dominio sólida y ordénala. Siempre puedes añadir más cuando tu plan esté asentado y hayas tenido tiempo para reflexionar sobre el proceso, así como aquello que funciona y lo que no.
2. Asigna roles y responsabilidades
Como parte del plan de Gestión de Riesgos debes fijar roles y responsabilidades que resulten claros para todos. En un mundo ideal, es necesario codificarlos en una matriz RACI.
3. Establece un umbral de referencia
Si dispones de un equipo de auditoría interna, acude a él para revisar a fondo tu escenario de riesgos. Esto te proporcionará una línea de base sobre la que podrás construir tu plan, además de utilizarla como punto de comparación a medida que madure tu práctica.
Otra cuestión fundamental es acordar el umbral de riesgo, que será diferente para cada organización. Asegúrese de que todos lo aprueban y de que quede reflejado en tu plan para consultarlo cuando sea necesario.
4. Fija la forma de identificar los riesgos
Establece cómo identificarlos y notificarlos. Facilita esto último (el formulario de riesgos debe ser accesible y simple de encontrar en tu intranet).
También crea puntos de contacto con otros procesos para señalarlos en forma rápida y sencilla si se descubre un riesgo.
5. Acuerda una manera de evaluar los riesgos
Para priorizarlos y gestionarlos adecuadamente, debes consensuar una forma estándar de evaluar los riesgos. Una vía posible es utilizar una matriz de riesgos, basada en la probabilidad y el impacto. Esto elimina el error humano y garantiza que todos se examinen de forma coherente.
| Probabilidad/ Impacto | Menor | Moderado | Grave |
| Improbable | Baja | Media | Alta |
| Probable | Baja | Media | Alta |
| Muy probable | Media | Alta | Alta |
6. Adopta una respuesta
Se trata de su plan de acción para mitigar el riesgo si se produce el suceso. Trabaja con tus equipos de GRC y de la alta dirección para acordar la respuesta más adecuada en función del umbral de riesgo de tu organización.
7. Lista los desencadenantes
Al crear tu plan de Gestión de Riesgos, crea una nómina de los desencadenantes de los riesgos para poder ser más proactivo a la hora de abordarlos.
8. Registra los riesgos
El registro de riesgos es un listado de los mismos, junto con los detalles sobre su probabilidad e impacto. Debe constituir la base del plan, ya que en él se recogen todos los que podrían amenazar a la organización. Además, se almacenan en una ubicación central y se utiliza para gestionarlos a lo largo de su ciclo de vida.
9. Considera planificar las contingencias
El panorama de riesgos es dinámico. Así, por ejemplo, la actividad de un nuevo proyecto podría introducir riesgos desconocidos en tu entorno. Por esa razón, debes contar con un plan de cambio.
La planificación de contingencias también se aplica a la reclasificación de riesgos existentes en caso de cambios. Así que el proceso requiere flexibilidad para hacer frente a cualquier ajuste que deba realizarse.
10. Incorpora la mejora continua
Tu plan tiene que contemplar un ciclo de mejora continua que permita revisar y mejorar los procesos y procedimientos.
Como ves, un plan de Gestión de Riesgos implica definir y gestionar simultáneamente varios elementos. Una herramienta de Gestión de Activos de IT, como InvGate Insight, te ayudará a hacer el trabajo de manera más eficiente mediante la automatización de las actividades de Gestión de Riesgos.
Por ejemplo, puedes establecer Reglas de Salud que te notifiquen cuándo un activo en particular está en peligro, de modo de tomar las medidas adecuadas en consecuencia. También tienes la posibilidad de utilizar Smart Tags para recibir alertas cuando se instalen aplicaciones de software prohibidas.
Ejemplo de un plan de Gestión de Riesgos de IT
Aquí tiene una plantilla de ejemplo de un plan de Gestión de Riesgos de IT:
| Fase de planificación | Actividades |
| Alcance |
|
|
Establecer un umbral de referencia |
|
| Identificación de riesgos |
|
| Evaluación de riesgos |
|
| Enfoque de la respuesta |
|
| Roles y responsabilidades |
|
| Desencadenantes |
|
| Resgistro de riesgos |
|
| Planes de contingencia |
|
| Mejora continua |
|
Resumen
Un plan de Gestión de Riesgos reúne el enfoque de la gestión de riesgos. Muchos elementos diferentes pueden amenazar el buen funcionamiento de tu organización. Es importante no sólo saber cuáles son, sino también su probabilidad, su impacto, cómo abordarlos y quién es el responsable.
Las distintas etapas expuestas en este artículo sirven de guía para abordar el proceso. Un plan garantiza un camino definido con actividades y soluciones adecuadas. Y, al mismo tiempo, destina funciones y responsabilidades específicas a las personas involucradas.
Por último, no olvides que puedes automatizar varias tareas dentro de este plan con InvGate Insight. Solicita una prueba gratuita de 30 días y explora sus posibilidades.
Preguntas frecuentes
¿Cuáles son las tareas básicas de un plan de Gestión de Riesgos?
Un plan de Gestión de Riesgos debe incluir la identificación, evaluación y gestión de dichos riesgos. También tiene un registro de riesgos para reunirlos todos en una ubicación única y central para que nada se pierda, ignore u olvide.
¿Con qué frecuencia debe realizarse un plan de Gestión de Riesgos?
Para la mayoría de las organizaciones, una evaluación anual de riesgos podría cumplir con los marcos de mejores prácticas, apoyar el cumplimiento y reducir el escenario de amenazas. Sin embargo, es necesario comprobar siempre si existen normas legales, reglamentarias o de cumplimiento específicas a las cuales adherirse.
A su vez, es aconsejable revisar las acciones delineadas por la Gestión de Riesgos al comienzo de cualquier proyecto nuevo significativo para proteger a tu empresa de los posibles riesgos relacionados con cambios o estas iniciativas.
¿Qué es un plan de Gestión de Riesgos de Cumplimiento?
Un plan de Gestión de Riesgos de Cumplimiento reúne las responsabilidades de tu empresa en caso de incumplimiento, incluidas acciones legales, multas y daños a la reputación. También documenta las medidas de gestión adecuadas para mantener los riesgos de este tipo en un nivel aceptable.
¿Qué es un plan de contingencia en la Gestión de Riesgos?
Un plan de contingencia en la Gestión de Riesgos es aquello que tenemos que hacer como empresa si se produce el riesgo de modo de disminuir el impacto en los clientes y en las partes interesadas.
¿Qué es un plan de mitigación en la Gestión de Riesgos?
Un plan de mitigación es la forma de reducir el impacto del riesgo. Un ejemplo podría ser cuando se caen teléfonos o tablets: para mitigar ese riesgo es posible utilizar una funda y un protector de pantalla de modo que el dispositivo no resulte dañado.
¿Cómo monitorear un plan de Gestión de Riesgos?
El equipo de riesgos debe monitorear los planes de Gestión de Riesgos. Es fundamental que envíen periódicamente actualizaciones al equipo directivo para mantenerlos informados de todas las actividades importantes de riesgo.
