Gestión del riesgo
Ronke Oyemade, CISA, CRISC, PMP
Para que una organización logre sus objetivos estratégicos, que necesita para gestionar el riesgo de una manera eficaz y oportuna. Dado que los recursos de una organización son limitados, es necesario identificar los riesgos, evaluar cada riesgo en términos del impacto de la ocurrencia del riesgo se tienen en impedir la organización de alcanzar sus objetivos estratégicos, y determinar la cantidad de pérdida de la empresa está preparada para absorber y cuál es el riesgo que está dispuesto a asumir.
Una evaluación de riesgos productivos de una empresa se puede lograr a través del conocimiento eficaz de los riesgos a través de la comunicación con la gerencia ejecutiva y otras partes interesadas, como el director de riesgos, el comité de empresa de riesgo, jefe de información, jefe de finanzas, administración de empresas y dueños de procesos, cumplimiento y de auditoría, recursos humanos, auditores externos, reguladores, inversionistas, aseguradores, la gestión de TI y otros empleados. Para ser efectiva, dicha comunicación debe ser relevante, el objetivo a tiempo, en la audiencia correcta y basada en una necesidad de conocerla. La información sobre el riesgo comunicado debe incluir los tipos de riesgo, los indicadores financieros utilizados en la identificación de riesgos, así como las capacidades de la empresa (en términos de recursos disponibles para manejar el riesgo).
La empresa puede decidir la gestión de riesgos a través de ya sea transfiriendo el riesgo a otra organización, como una compañía de seguros, evitando el riesgo mediante la eliminación de los procesos de negocio asociados, aceptando el riesgo en función de su voluntad de absorber la pérdida, o la mitigación de los riesgos a través de controles de aplicación.
La decisión sobre cómo responder a los riesgos debe basarse en un análisis de costo-beneficio realizado en el proceso de evaluación de riesgos. El uso de este análisis, la empresa debe decidir sobre la respuesta adecuada, mediante el cual el costo de responder a un riesgo es menor que el beneficio obtenido como consecuencia de la respuesta. Por ejemplo, si el costo asociado de mitigar el riesgo de las maneras los beneficios obtenidos de la implementación de un control para mitigar el riesgo, la empresa debe considerar la aceptación, evitar o transferir el riesgo. Si el costo de la implementación de controles para mitigar o transferir el riesgo a un tercero, es mayor que las pérdidas sufridas como resultado de que ocurra el riesgo, la empresa debe considerar la aceptación de la pérdida. Si el costo de la implementación de controles para mitigar o transferir el riesgo a un tercero, o aceptar el riesgo es mayor que los beneficios obtenidos por la empresa de la aplicación de una de estas respuestas a los riesgos mencionados o el nivel predefinido de pérdida que la empresa está preparada para absorber (con la desviación aceptada de este nivel predefinido), la empresa debe considerar la eliminación de los procesos de negocio.
Leer el artículo Diario últimos Ronke Oyemade de:
"A partir del Gobierno de TI a través de tres líneas de defensa, los riesgos de TI y COBIT", 2012 ISACA Journal, volumen 1
La gestión de la continuidad del negocio (BCM), mejores prácticas y estándares deben ser personalizadas para adaptarse a la cultura organizacional y los requisitos de BCM. Cuando esta adaptación no es práctico y sensible, la ejecución de proyectos BCM será ineficaz.
