fbpx
InicioCiberseguridadCómo elaborar un plan de gestión de riesgos

Cómo elaborar un plan de gestión de riesgos

Dentro de cualquier empresa la gestión de riesgos es un elemento clave, puesto que una organización mejor preparada podrá actuar de forma efectiva frente a un problema. Sin dudas, la planificación proactiva puede ser útil para evitar las consecuencias de incidencias inesperadas.

Si nunca antes has elaborado un plan de gestión de riesgos, a continuación te explicamos qué es y cómo se desarrolla en sus distintas fases, teniendo en cuenta las indicaciones de la Guía de los Fundamentos ara la Dirección de Proyectos, publicada por Project Management Institute (4º edición de 2008), y la Guía de aproximación para el empresario de INCIBE. Este documento ofrece los términos básicos utilizados y la información necesaria para llevar a cabo el proyecto, junto con el listado de enlaces donde encontrar más información sobre de gestión de riesgos.

¿Qué es un plan de gestión de riesgos?

La gestión de riesgos identifica las debilidades de una empresa para establecer la estrategia de protección necesaria, según una metodología de análisis. Un plan de gestión de riesgos se puede así definir como el proceso por el cual se evalúan las amenazas para poder reaccionar a sus efectos.

Hablando de «amenaza» nos referimos a cualquier factor externo que pueda dificultar o bloquear los procesos internos de una organización. Entre las amenazas más comunes se encuentra el riesgo de mercado vinculado con fluctuaciones financieras, como por ejemplo las tasas de interés. Cuando una de las partes no logra solventar los compromisos económicos se produce el riesgo de liquidez o financiación, mientras que las incidencias operativas ocasionan pérdidas por fallos en los procesos.

¿Cuándo es necesario planear la gestión de riesgos?

Lo ideal es elaborar un plan de gestión de riesgos en la fase inicial del proyecto para identificar cualquier problema potencial. De esta forma, se pueden analizar los factores de riesgo y las posibles pérdidas o amenazas de ciberseguridad. Si no se ejecuta la gestión de riesgos en una fase inicial, será necesario abordar la teoría de las restricciones, un marco que ayuda a identificar el nivel de riesgo para tomar las acciones oportunas.

Planificar la gestión de riesgos

Cuando se planifica un proyecto, es importante gestionar a los interesados describiendo los procesos requeridos para identificar a las personas o grupos que influyen en el proyecto, para desarrollar estrategias de gestión y ejecución.

Este análisis es un proceso que consiste en recopilar y analizar las necesidades, expectativas e influencia de los interesados. También, permite determinar las escalas de probabilidad para poder evaluar los diferentes riesgos de la organización.

Una vez realizado este paso, será necesario contestar a las siguientes preguntas básicas.

  • ¿Quiénes van a identificar los riesgos?
  • ¿Cómo se priorizarán los riesgos?
  • ¿Qué herramientas se utilizarán?
  • ¿Cuáles serán las estrategias?
  • ¿Con qué frecuencia se analizarán los riesgos?

Identificación de riesgos

En una fase de identificación se determinan los posibles riesgos del proyecto documentando sus principales características. Para ello, se utilizan técnicas como la Lluvia de Ideas, una metodología que permite identificar riesgos con equipos multidisciplinarios externos al proyecto.

Se podrá recurrir también a la técnica Delphi separando físicamente a los miembros del grupo para que opinen sobre potenciales riesgos de forma anónima. Además, se podrá utilizar el análisis de Causa Raíz para identificar cuáles son las principales amenazas por medio de debates grupales sobre las posibles causas planteadas. Por su parte, el análisis DOFA ofrece una herramienta de gestión que permite realizar un registro de riesgos según las debilidades internas.

¿Cómo se mide el nivel de riesgo?

El nivel de riesgo es una estimación de lo que puede ocurrir que se calcula como el producto del impacto, (consecuencia), asociado a una amenaza (suceso), por la probabilidad de la misma. El impacto nos indica las consecuencias de la materialización de una amenaza, que se valoran según los daños producidos:

  • daños personales
  • pérdidas financieras
  • interrupción del servicio
  • pérdida de imagen y reputación
  • disminución del rendimiento

Es posible realizar un análisis cualitativo fijando el nivel máximo de riesgo que la empresa está dispuesta a soportar, por debajo del umbral y sin emplear más recursos de los necesarios para cumplir ese objetivo.

image 2
Proceso de Seguimiento. Gráfico de la Guía de los Fundamentos para la Dirección de Proyectos.

Supervisión de los riesgos

Si todo sale según lo esperado, el proyecto estará en marcha para cumplir sus objetivos. Sin embargo, será necesario controlar activamente los riesgos para evitar sorpresas desagradables. Para ello, es importante enviar actualizaciones de estado para que el equipo esté alineado. Además, es aconsejable consultar con frecuencia al gerente del proyecto o líder del equipo, para controlar que todo funcione correctamente.

Otro aspecto a tener en cuenta es la creación de un registro de riesgos para poder analizar las novedades de la incidencia. Al igual que con el resto de los elementos del proyecto, el plan de gestión de riesgos debe ser un documento activo que el equipo utiliza se forma constante implantando una cultura de colaboración.

«El seguimiento continuo proporciona al equipo del proyecto conocimientos sobre la salud del proyecto y permite identificar las áreas que requieren más atención», se aclara en la Guía de los Fundamentos para la Dirección de Proyectos del Project Management Institute (p. 60), destacando la necesidad de «monitorear y controlar el trabajo que se está realizando dentro de un grupo de proceso», con una revisión que «puede dar lugar a actualizaciones recomendadas y aprobadas al plan para la dirección del proyecto».

artículos relacionados

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí