Convergencia de las métricas de riesgo en la empresa

El análisis, evaluación y tratamiento del riesgo en la empresa se realizan mediante metodologías que aportan garantías según la disciplina. Estas metodologías se han desarrollado y evolucionado como parte de disciplinas específicas para controlar los riesgos.

Las empresas tienden cada vez mas a integrar la gestión del riesgo. Para ello, es necesario que las métricas de las distintas metodologías converjan. Hacer converger las métricas de las distintas metodologías es un desafío importante y un camino lleno de dificultades. La primera de ellas es el reconocimiento de la métrica, es decir, demostrar ante terceros que la métrica nueva es adecuada para el control del riesgo específico.

En muchos casos, las distintas metodologías no están orientadas a ser integradas en un sistema único de gestión del riesgo, pero gozan de una contrastada aplicación en el área para la que fueron concebidas. Por lo tanto, nos encontramos ante una especie de paradoja, integrar los riesgos con métricas distintas para disponer del reconocimiento profesional de los distintos sectores, y utilizar métricas que permitan integrar todos los riesgos de la empresa.

Esto, que parece complejo, se puede resolver aplicando dos métricas para el control del riesgo: una específica que goce del reconocimiento de terceros y una métrica adecuada para la integración de los riesgos en la empresa.
En el siguiente esquema se desarrolla el control del riesgo indicado en la ISO 31000, en dos fases:

  • ·Análisis y tratamiento del riesgo conforme a la métrica reconocida por terceros.
  • · Análisis y tratamiento del riesgo para la gestión integral del riesgo.

Para ilustrar esto, voy a citar algunos ejemplos:
Ejemplo 1: Supongamos el riesgo de incendio de una instalación industrial.

  • Primero analizamos el riesgo conforme al Reglamento de Seguridad Contra Incendios en Establecimientos Industriales, incluso aplicamos los controles de obligatorio cumplimiento respecto a la norma.
    Posteriormente, considerando los controles aplicados por obligación normativa, analizamos el riesgo para la empresa de un fuego de la instalación industrial. En caso de que se decida tratar el riesgo, se aplicarían medidas de protección complementarias de los controles obligados.

Ejemplo 2: Supongamos que tenemos una instalación que ha sido identificada como infraestructura crítica por el CNPIC.

  • Primero analizamos los riesgos para la sociedad a consecuencia de un ataque deliberado, y se proponen los controles necesarios para que el nivel de riesgo esté por debajo de la tolerancia.
    Posteriormente, considerando los controles aplicados, analizamos el riesgo para la empresa ante un ataque deliberado. En caso de que se decida tratar el riesgo, se aplicarían medidas complementarias o sustitutivas de los controles de la primera fase.

Conclusiones:
Nuestro sistema de gestión del riesgo tendrá que permitir la aplicación de distintas metodologías de apreciación y tratamiento del riesgo conforme a:

  • · Los planes de respuesta ante cambios en el nivel de riesgo deben estar preparados y con los medios necesarios para un despliegue rápido.
  • · El sistema de seguridad debe tener la capacidad de modificar sus parámetros de operación para adecuarlos fácilmente ante un cambio del nivel de alerta (Cambio del nivel de riesgo)



volver