“Planificar para el riesgo” puede sonar como una contradicción de términos, pero es algo que todo el mundo hace. Por lo general, las personas no enfrentan muchos riesgos individuales, por lo que es fácil administrar los riesgos que conocemos. Obtenemos un seguro de salud para cubrir enfermedades y un seguro de vida para proteger a nuestras familias. Sin embargo, no es algo de lo que solemos hacer un seguimiento o categorizar. Las empresas son diferentes, sin embargo. Deben rastrear y categorizar cada amenaza porque las amenazas que enfrenta una empresa son muy numerosas y provienen de muchos ángulos.
Muchas organizaciones hacen esto a través de una matriz de riesgo. Una matriz de riesgo es una forma básica de convertir el riesgo en datos. La creación de una matriz de riesgos nos permite ajustar nuestras respuestas al riesgo en función del nivel de amenaza potencial, así como la forma en que podría afectar otros riesgos. Las empresas financieras, por ejemplo, enfrentan muchos riesgos que se contradicen directamente entre sí. Si invierten, corren el riesgo de pérdidas financieras debido a una mala inversión, pero si no invierten, corren el riesgo de pérdidas financieras por la pérdida de oportunidades. Crear una matriz de riesgos les ayuda a equilibrar esas situaciones.
Medición de riesgos en el sector de servicios financieros
Las matrices de evaluación de riesgos son una parte estándar de la evaluación de riesgos en cualquier industria. Se pueden completar para una tarea específica o para una empresa en su conjunto. Principalmente, comparan la probabilidad de un riesgo con su impacto y establecen un nivel de prioridad para su gestión. Esto permite que todas las amenazas se dividan en una de las siguientes combinaciones de riesgos:
- Baja probabilidad / bajo riesgo - Un escenario de baja probabilidad / bajo riesgo implica muy poco riesgo de que ocurra un evento e incluso si sucede, es uno que se puede gestionar fácilmente. Un ejemplo específico de esto en la industria financiera es el de un empleado de nivel inferior, sin acceso a la información de la cuenta del cliente, que se convierte en víctima de un ingeniero social que puede hacer que proporcione la contraseña de su empleado. Es poco probable porque es poco probable que alguien con acceso mínimo sea el objetivo. Es de bajo riesgo porque incluso si el evento es exitoso, la compañía no sufrirá pérdidas graves y el problema puede recuperarse fácilmente.
- Baja probabilidad / riesgo medio - Esta es una situación en la que, nuevamente, la probabilidad es improbable pero el riesgo es ligeramente mayor. Considere el escenario de arriba, pero esta vez, la contraseña del individuo da acceso a información confidencial pero de bajo nivel del cliente, como las direcciones de correo electrónico.
- Baja probabilidad / alto riesgo - Este escenario representa uno en el que la probabilidad es improbable, pero el riesgo podría interrumpir las operaciones comerciales. Nuevamente, considere el escenario en el que se engaña al empleado para que brinde datos confidenciales. Solo que esta vez, el empleado les dio acceso a nivel de administrador a la red informática de la empresa.
- Alta probabilidad / bajo riesgo - Alta probabilidad significa que es muy probable que suceda, hasta el punto en que se espera bastante. En una empresa financiera, un ejemplo de esto sería un comerciante que compra una cantidad mínima de bonos; luego, la Fed aumenta la tasa de interés solo unos días después. Es probable que esto ocurra, pero la compañía cuenta con puntos de referencia para evitar pérdidas importantes.
- Alta probabilidad / riesgo medio - El riesgo es probable y podría interrumpir las operaciones de la compañía. En este caso, cambie el ejemplo anterior de bonos a acciones. Es mucho más probable que el mercado de valores sea volátil y haya pérdidas. La probabilidad es alta y habrá mayores pérdidas.
- Alta probabilidad / alto riesgo - Esta es una situación en la que la amenaza debería haber sido obvia e inminente. Un ejemplo de esto sería una empresa financiera que invierte cada dólar de inversión adicional en futuros de petróleo. Existe una alta probabilidad de que esto no funcione y el riesgo para la reputación y reputación financiera de la compañía no será recuperable.
Estas categorías le permiten convertir el riesgo potencial en datos. De esta manera, puede obtener un mapa de riesgos de su empresa, para que pueda ver dónde se encuentran las áreas de debilidad y prevenirlas antes de que lleguen a la etapa de alto riesgo / alta probabilidad. Cuanto antes atrape una amenaza, más fácil será contenerla.
Convertir amenazas en datos
Categorizar las amenazas es más fácil decirlo que hacerlo. En este caso, podemos utilizar un ejemplo de un operador hipotético de acciones que trabaja para una empresa financiera, que ha decidido centrarse únicamente en los productos básicos. Para simplificar, el riesgo se desglosará en categorías ERM estándar que se pueden clasificar numéricamente en una escala del 1 al 10.
- Peligro - 1/1 - El riesgo de peligro indica la posibilidad de riesgos externos incontrolables. Por ejemplo, un tifón puede hacer que el lugar donde se extrae principalmente la mercancía no se pueda usar. Sin embargo, esto haría que el futuro de este producto sea más valioso, equilibrando la diferencia. En este caso, existe 'una baja probabilidad de que esto ocurra y también un bajo riesgo.
- Financiero - 10/10 - Existe una alta probabilidad de pérdida en el comercio de productos básicos y un alto riesgo de invertir todos los fondos en el proyecto. Esta es un área de alta probabilidad y alto riesgo que necesita ser revisada.
- Riesgo operacional - 10/5 - Tener una política de solo comercio de productos representa una alta probabilidad de que la compañía sea multada debido a una política deficiente de la compañía. Esto podría dañar la reputación de la empresa y provocar pérdidas financieras futuras también.
Ahora, todos esos puntajes en la matriz de riesgo se suman y promedian. El puntaje general para este escenario, con 1 siendo el menor riesgo y 10 siendo el mayor, es 6. Eso pesaría en el lado alto del riesgo, lo que significa que deben hacerse ajustes antes de que el plan pueda implementarse.
Este es un enfoque muy simplista para las matrices de riesgo, pero aún se puede ajustar para adaptarse a la mayoría de las organizaciones. El proceso requiere que observe todos los lados del riesgo y establezca líneas de base aceptables para cada uno. Es una forma de priorizar los esfuerzos de reducción de riesgos al tiempo que elimina las principales amenazas.
Clearspeed ofrece esta opción a través de nuestro programa de evaluación remota de riesgos. Con nuestra tecnología, puede obtener un mapa de calor del riesgo humano en su organización, para que pueda tomar mejores decisiones. Para más información, contáctanos.
Fuente de imagen | Usuario de Flickr dako huang