¿Es esto posible? Sí, sí lo es; sin embargo, se requieren algunos recursos para lograrlo y todo depende de una gestión estructurada.
Entre los recursos más importantes para hacer análisis de riesgos está contar con un equipo que tenga el conocimiento de los elementos que se van a evaluar y también que al menos uno de sus miembros sea experto en el uso de la herramienta seleccionada para el análisis.
Recordemos que, en 2018, el comité ISO/TC 262 sobre gestión del riesgo emitió una nueva revisión de las directrices ISO 31000 y, como resultado, integró directrices enfocadas al riesgo en diferentes sectores, por ejemplo:
- COSO ERM 2017 (Committee of Sponsoring Organizations of the Treadeway Commission, Enterprise Risk Management)
- ITIL v4 (Information Technology Infrastructure Library)
- ISO/IEC 27005:2018, Information technology —Security techniques— Information security risk management
- NIST National Institute of Standards and Technology
- COBIT 2019 (Control Objectives for Information and Related Technologies)
- The ISA/IEC 62443 series of standards
Estas directrices, eventualmente, llevan a una organización a realizar una gestión completa de los riesgos, donde uno de los temas fundamentales es la determinación de estándares o metas a lograr, en diferentes niveles de la compañía.
Sin ello, la gestión se vuelve complicada. Quienes realizan el análisis pueden finalizar determinando riesgos que no existen y justo ahí es donde aparece una pregunta fundamental: ¿qué pasaría si no se cumplen los estándares o metas?
Para evitarlo, lo primero es tener calificaciones basadas en criterios predefinidos que permitan ponderar el grado del impacto o los efectos. Después, volcarse en encontrar las posibles causas del incumplimiento del estándar o de la meta, sin olvidar que esto aún no sucede, sino que estamos visualizando el futuro y planteando posibles escenarios. También es importante no perder de vista que cualquier elemento contiene variables que provocan o inhiben el suceso.
Aquí toca hacer un análisis de la causa raíz, pero ¿cómo, si no conocemos todavía la falla? Bueno, es ahora que el equipo multidisciplinario, experto en la temática, emplea sus conocimientos para plantear las causas probables que, cabe mencionar, cuando tienen controles los nombraremos: controles de prevención de los posibles incumplimientos de los estándares o metas.
También hay que considerar que pueden existir controles de autocorrección. Estos se activan cuando hay una falla y, al mismo tiempo, hay otros cuya función es detectar las anomalías e incumplimientos de estándares y metas.
Estos controles (y la probabilidad de que ocurran las causas por el “no cumplimiento” de los estándares o metas) también cuentan con ponderaciones que al final nos van a permitir estimar riesgos y enfocar los recursos de la compañía en su mitigación.
Ahora bien, en algunos casos la organización puede asumir los riesgos y vivir con ellos, pero es importante que sea consciente del impacto que traerían al materializarse.
Sin duda, es fenomenal poder echar un vistazo al futuro, sobre todo para evitar pérdidas, pero la verdad es que sin acción no hay mitigación, así que es indispensable que, continuamente, se evalúen y coloquen nuevos controles. Eso sí demuestra un interés genuino en atacar los riesgos.
Entonces, ¿se puede visualizar el futuro? La respuesta es sí, pero quizá podamos plantear una mejor pregunta: ¿Cómo me beneficia diseñar mi estrategia de negocios con base en la gestión de riesgos?