Gestión de riesgos

¿Qué es riesgo?

De acuerdo a la RAE (Real Academia Española de la lengua), el riesgo se define como la “contingencia o proximidad de un daño”. Esta palabra deriva del vocablo italiano “risico” o “rischio”, el cual, a su vez, proviene del árabe “rizq”, que significa “lo que depara la providencia”, lo cual hace referencia al hecho que existe la posibilidad que se produzca un contratiempo o una desgracia, o bien, que alguien o algo sufra perjuicio o daño.

En lenguaje sencillo, el riesgo es la exposición a una situación donde hay una posibilidad de sufrir un daño o de estar en peligro.

La misma definición es aplicable al concepto de riesgo en términos de negocio, siendo éste, entonces, la posibilidad que una empresa sufra daño o pérdidas. Sin embargo, el enfoque más moderno y metodológico amplía un poco más el concepto, señalando que riesgo es la amenaza que una empresa no alcance sus objetivos corporativos.

Veámoslo con un ejemplo sencillo: supongamos que una empresa tiene como objetivo de negocio fabricar X cantidad de unidades de un producto, en un plazo de Y meses y con una calidad Z, a objeto de ponerlos a la venta en una determinada fecha. Todas las posibles circunstancias que podrían afectar para que no se lograra cumplir con la cantidad de unidades requeridas, en el tiempo deseado y con la calidad esperada, son los riesgos de la iniciativa.

Por lo tanto, la gestión necesaria para mitigar o reducir los riesgos es un elemento central de la administración del negocio y no puede verse como algo separado de esta función.

Gestión de riesgos operacionales

Apoyamos a nuestros clientes en la evaluación e implementación de un modelo de administración de riesgos, con el objeto de identificar, prevenir y evitar en forma oportuna eventos que pudiesen afectar el cumplimiento de los objetivos de negocio o que pudiesen provocar impactos negativos en el desempeño, reputación y confianza de la empresa. A través del fortalecimiento en la cultura de gestión de los riesgos, agregamos valor en la organización y le ayudamos a obtener beneficios, tales como: reducción de costos, aumento de eficiencia, limitación de pérdidas y prevención de fraudes o robos. Para cumplir estos objetivos, brindamos los siguientes servicios:

a) Análisis y evaluación del modelo de gestión de riesgos operacionales.

b) Asesoría para establecer e implantar un modelo de gestión de riesgos operacionales.

c) Generación de un marco normativo interno (políticas y procedimientos) formalmente documentado.

d) Confección y desarrollo de una evaluación de riesgos o “Risk Assessment”.

e) Auditoría de riesgos operacionales.

Nuestro trabajo se realiza sobre la base de mejores prácticas (“best practices”), metodologías y estándares internacionales, tales como ISO 31000.

Gestión de riesgos tecnológicos

El riesgo tecnológico es un subconjunto del riesgo operacional y corresponde a la posibilidad que se produzcan pérdidas financieras debido a daños, interrupción, alteración, problemas, errores o fallas en la operación o uso de la infraestructura tecnológica y/o en los procesos de tecnologías de información (TI), incluyendo dentro de éstos el hardware y software, programas y aplicaciones computacionales, sistemas de información, bases de datos, redes, telefonía y telecomunicaciones, así como cualquier componente tecnológico utilizado para el funcionamiento de los servicios.

Nuestra oferta de valor en este ámbito considera los siguientes servicios:

a) Evaluación e identificación de principales riesgos tecnológicos de la empresa, incluyendo propuestas de solución.

b) Consultoría para identificar y mitigar tempranamente riesgos tecnológicos en proyectos que involucran tecnologías de información.

c) Auditoría de riesgo tecnológico en procesos, sistemas, aplicaciones, bases de datos, plataformas computacionales y de telecomunicaciones.

d) Generación de un marco normativo interno formalmente documentado (políticas y procedimientos) para la administración del riesgo tecnológico.

Nuestro trabajo se realiza sobre la base de mejores prácticas (“best practices”), metodologías y estándares internacionales, tales como COBIT 5.

Gestión de riesgos de seguridad de la información

Analizamos y evaluamos el ambiente de control de nuestros clientes, con el objeto de determinar si es adecuado para garantizar la seguridad de la información y si es suficiente para acotar razonablemente los riesgos de seguridad que pudiesen afectar a sus activos.

Para llevar a cabo nuestra tarea, ofrecemos los siguientes servicios:

a) Evaluación, identificación y diagnóstico de los principales riesgos de seguridad de la información en la empresa, incluyendo propuestas de solución.

b) Consultoría para identificar y mitigar tempranamente riesgos de seguridad de la información en proyectos e iniciativas de negocio.

c) Auditoría de seguridad lógica y física en procesos, sistemas, aplicaciones, bases de datos, plataformas computacionales y de telecomunicaciones.

d) Generación de un marco normativo interno formalmente documentado (políticas y procedimientos) para la administración del riesgo de seguridad de la información.

e) Asesoría para la implementación de un modelo de gestión de seguridad de la información.

f) Análisis de vulnerabilidades y hacking ético.

Nuestro trabajo se realiza sobre la base de mejores prácticas (“best practices”), metodologías y estándares internacionales, tales como COBIT 5 e ISO 27001.

Gestión de riesgos de continuidad del negocio

La continuidad del negocio es un concepto utilizado para describir el conjunto de procesos y procedimientos que una organización ejecuta para garantizar que las funciones esenciales puedan continuar durante y después de un desastre.

El objetivo de gestionar la continuidad del negocio es evitar o limitar la interrupción de los servicios más críticos y restablecer el pleno funcionamiento de éstos de la forma más rápida, efectiva y fácil que sea posible.

Los riesgos de fallas, errores o eventos inesperados que pueden ser catastróficos afectan a grandes y pequeñas empresas, por lo tanto, responder en forma oportuna, efectiva y eficiente es una tarea crítica, independientemente del tamaño de la organización.

Nuestra oferta de valor consiste en apoyar y asesorar a nuestros clientes en la evaluación e implementación de un modelo de gestión de continuidad del negocio, que le permita administrar razonablemente los riesgos asociados a este concepto.

Algunos de los servicios que ofrecemos como parte de nuestra asesoría son:

a) Análisis de impacto al negocio (BIA, por sus siglas en Inglés “Business Impact Analysis”).

b) Evaluación y análisis de riesgos de continuidad del negocio.

c) Diseño de estrategias de recuperación.

d) Diseño e implementación del plan de continuidad del negocio (BCP, por sus siglas en Inglés “Business Continuity Plan”).

e) Diseño e implementación del plan de recuperación ante desastres (DRP, por sus siglas en Inglés “Disaster Recovery Plan”).

f) Implementación de un modelo de gestión de continuidad del negocio.

Nuestro trabajo se realiza sobre la base de mejores prácticas (“best practices”), metodologías y estándares internacionales, tales como ISO 22301.