Una vez se conocen los riesgos a los que se expone la información y se ha trazado la línea que define el nivel de riesgo aceptable, deberá planificarse su tratamiento, explicando qué riesgos se van a tratar, su nivel, las acciones propuestas, las medidas adoptadas, el responsable de la implementación, los recursos necesarios.
Las estrategias sobre los riesgos se pueden clasificar con vistas a las acciones que deben tomarse sobre ellos:
Riesgo aceptado.
Riesgo inherente o intrínseco.
Riesgo residual.
Riesgos que pueden anularse o reducirse.
Riesgos transferibles.
Riesgo aceptado.
Antes de considerar el tratamiento de un riesgo, la organización debe decidir el criterio para determinar el nivel de impacto y riesgo aceptable (si los riesgos son aceptados o no).
Más propiamente dicho, debe aceptar la responsabilidad de las insuficiencias. Esta decisión no es técnica. Puede ser una decisión política o gerencial, o puede venir determinada por ley o por compromisos contractuales con proveedores o usuarios.
Estos niveles de aceptación se pueden establecer por activo o por agregación de activos (en un determinado departamento, en un determinado servicio, en una determinada dimensión, etc.).
Son riesgos que no se tienen en cuenta, riesgos aceptados objetivamente y con conocimiento por la Dirección, satisfaciendo claramente el criterio para la aceptación del riesgo y la política de la organización.
Los riesgos pueden ser aceptados si, por ejemplo, se evalúa que el riesgo es menor o que el coste de tratarlo no es rentable para la organización. Estas decisiones deben ser registradas y documentadas convenientemente.
La organización asume la posibilidad del riesgo y pone al descubierto su patrimonio para responder con él ante su acaecimiento y las consecuencias derivadas del mismo. No establece ninguna medida de prevención y deja al azar su estabilidad económica.
Cualquier nivel de impacto y/o riesgo es aceptable si lo conoce y acepta formalmente la Dirección. Cuando se decida no aceptar o asumir un riesgo, deberán adoptarse las medidas apropiadas para evitar, mitigar o transferir el riesgo.
El autoseguro consiste en dotar un fondo patrimonial que se haga cargo de los posibles impactos que pudieran ocurrir. Para ello, pieza clave y fundamental, se requiere el conocimiento del riesgo. El autoseguro surge por tanto como consecuencia de dos secuencias importantes:
Bien porque el mercado no puede asegurar riesgos asegurables que se convierten en no asegurables (autoseguro forzoso).
Para ahorrar costes por un conocimiento muy adecuado del riesgo, fruto de la experiencia siniestral de una masa considerable de siniestros, expuestos en un periodo de tiempo considerable.
Se utiliza para protección de pérdidas recurrentes (regularidad estadística) de alta frecuencia y baja intensidad, obteniendo ahorros frente a la transferencia a una entidad aseguradora.
Riesgo inherente o intrínseco.
El riesgo inherente –riesgo máximo– surge de la exposición que se tenga a la operación de tratamiento en particular y de la probabilidad de que la amenaza asociada al riesgo se materialice.
En concreto, por riesgo inherente se entiende el riesgo intrínseco de cada actividad, sin tener en cuenta las medidas de seguridad o control que mitigan o reducen su nivel de exposición.
El riesgo inherente se puede tratar con el objetivo de reducir o mitigar el mismo, en función de la medida que se adopte, hasta situar el riesgo residual en un nivel que se considere razonable.
Riesgo residual.
Por riesgo residual se entiende el riesgo de cada actividad una vez se hayan aplicado las medidas de control para mitigar y/o reducir su nivel de exposición.
A diferencia del riesgo inherente, el riesgo residual contempla las medidas de control definidas sobre la actividad de tratamiento para valorar la probabilidad y/o el impacto asociado al riesgo.
Una vez tratado el riesgo inherente con medidas de control, este dará un riesgo residual, que debería ser inferior al primero. El riesgo residual también debe ser evaluado y, en su caso, aceptado.
En condiciones de riesgo residual extremo, casi la única opción es reducir el riesgo (no asumir el riesgo). Por tanto, cuando se decida no asumir un riesgo, deberán adoptarse las medidas de seguridad apropiadas para evitar, mitigar o transferir el riesgo.
En condiciones de riesgo residual aceptable, podemos optar entre aceptar el nivel actual o ampliar el riesgo asumido. En cualquier caso hay que mantener una monitorización continua de las circunstancias para que el riesgo formal cuadre con la experiencia real y reaccionemos ante cualquier desviación significativa.
En condiciones de riesgo residual medio, podemos observar otras características como las pérdidas y ganancias que pueden verse afectadas por el escenario presente, o incluso analizar el estado del sector en el que operamos para compararnos con la “norma”.
También conviene considerar la incertidumbre del análisis. Hay veces que sospechamos las consecuencias, pero hay un amplio rango de opiniones sobre su magnitud (incertidumbre en el im-pacto). En otras ocasiones la incertidumbre afecta a la probabilidad. Estos escenarios suelen afectar a las zonas 4 y 3, pues cuando la probabilidad es alta, normalmente adquirimos experiencia, propia o ajena, con rapidez y salimos de la incertidumbre.
En cualquier caso, toda incertidumbre debe considerarse como mala y debemos hacer algo:
Buscar formas de mejorar la previsión, típicamente indagando en foros, centros de respuesta a incidentes o expertos en la materia;
evitar el riesgo cambiando algún aspecto, componente o arquitectura del sistema; o
tener preparados sistemas de alerta temprana y procedimientos flexibles de contención, limitación y recuperación del posible incidente.
A veces estos escenarios de incertidumbre ocurren en un terreno en el que hay obligaciones de cumplimiento y la propia normativa elimina o reduce notablemente las opciones disponibles; es decir, el sistema se protege por obligación más que por certidumbre del riesgo.
A la vista de estas consideraciones se tomarán las decisiones de tratamiento.
Riesgos que pueden anularse o reducirse.
Son aquellos riesgos inherentes o intrínsecos que pueden minimizarse con medidas de protección: con seguridad física o pasiva, con seguridad activa o electrónica, con recursos humanos, con medidas organizativas, etc.
Anulación del riesgo: La organización elimina la situación de riesgo y evita la ocurrencia del siniestro ya que el beneficio no compensa la posibilidad de la pérdida.
Reducción del riesgo: La organización conoce el riesgo y adopta una serie de medidas que tienden a dificultar o mitigar la ocurrencia de un siniestro y la disminución de sus consecuencias si finalmente se produce.
Tras la aplicación de las medidas oportunas, dará lugar a un riesgo residual.
Riesgos que se pueden transferir.
La principal finalidad del seguro es transformar incertidumbre en certidumbre, proporcionando sensación de seguridad al asegurado.
Las empresas de seguros asumen riesgos que agrupados convierten una gran pérdida potencial en otra pequeña y cierta. Por ejemplo, seguro de incendio, de vida, etc.
Lo anterior nos lleva a señalar una cierta complementariedad, dado que el seguro rebaja las primas cuando se implantan medidas de protección que reducen o anulan los riesgos, pudiendo considerarse que el seguro es un medio más a la hora de elaborar el Plan de Protección.
Este post Tipos de riesgo según las acciones a adoptar apareció originalmente en SIQURË Safety & Security.