Análisis de riesgos

Fuente de la imagen: mvc archivo propio

Conforme a la doctrina fijada por el Ministerio de Hacienda y Administraciones Públicas del Gobierno de España (MHyAAPP)[1], el análisis de riesgos permite determinar cómo es, cuánto vale y cómo de protegido se encuentra el sistema. En coordinación con los objetivos, estrategia y política de la Organización, las actividades de tratamiento de los riesgos permiten elaborar un plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que acepta la entidad jurídica. Al conjunto de estas actividades se le denomina Proceso de Gestión de Riesgos, que se utiliza para analizar las posibilidades y consecuencias de cada situación riesgosa detectada en el proceso de identificación de riesgos, determinando qué componentes de riesgos pueden afectar en mayor medida a la entidad y, por derivación, deben ser tenidos en cuenta de manera especial.

Al igual que con la identificación de riesgos, en el análisis de riesgos debe utilizarse una metodología previamente definida y consensuada o aprobada por la dirección. Existen distintos métodos que la doctrina los clasifica en cualitativos, cuantitativos y mixtos. Los métodos cualitativos se basan en la experiencia, el conocimiento y la percepción o intuición y son los más utilizados por las personas jurídicas. Las herramientas de campo que se utilizan en esta tipología van desde informes y dictámenes de expertos o peritos en la materia objeto de análisis, hasta entrevistas personales, cuestionarios o las tormentas de ideas. Por el contrario, los cuantitativos se basan en el cálculo de riesgo mediante la asignación previa de valores (numerales, ratios, probabilidades…). Finalmente, los mixtos se conforman mediante un “coupage” de los cualitativos y cuantitativos[2].

El procedimiento de análisis de riesgos dependerá de la envergadura del proyecto, así como de los recursos puestos a disposición, pero existen unos hitos básicos que conforman el proceso general. Una vez tipificados los riesgos en la fase de identificación propiamente dicha, se procede a la conformación de una respuesta o soluciones para cada riesgo, que posibilite un amortiguamiento, moderación o mitigación de la incertidumbre. De forma paralela, se va apreciando aquellas situaciones que, por el contrario, pueden generar un incremento de que el riesgo se produzca, que aceleren su materialización. A partir de aquí, supuestamente se poseerá un enfoque más cercano a la realidad, nueva perspectiva que probablemente afecta a la clasificación y calificación previamente realizada, por lo que habrá de proceder al recálculo de riesgos conforme a las herramientas cualitativas o cuantitativas utilizadas.

____________________

[1] Amutio Gómez, Miguel Ángel y otros. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Ed. Centro de Publicaciones del Ministerio de Hacienda y Administraciones Públicas. 2012.

[2] Por ejemplo, asignar a cualidades subjetivas valoraciones de alto, medio o bajo.