Gestión de riesgos

Identificación, evaluación y control de riesgos
Ejemplo de evaluación de riesgos: un modelo de la NASA que muestra áreas con alto riesgo de impacto en la Estación Espacial Internacional

La gestión de riesgos es la identificación, evaluación y priorización de los riesgos , seguida de la minimización, el seguimiento y el control del impacto o la probabilidad de que dichos riesgos ocurran. [1]

Los riesgos pueden provenir de varias fuentes (es decir, amenazas ), incluida la incertidumbre en los mercados internacionales , la inestabilidad política , los peligros de fallas del proyecto (en cualquier fase del diseño, desarrollo, producción o mantenimiento de los ciclos de vida), las responsabilidades legales , el riesgo crediticio , los accidentes , las causas naturales y los desastres , el ataque deliberado de un adversario o los eventos de causa raíz incierta o impredecible .

Existen dos tipos de eventos: riesgos y oportunidades. Los eventos negativos pueden clasificarse como riesgos, mientras que los eventos positivos se clasifican como oportunidades. Varias instituciones han desarrollado estándares de gestión de riesgos, incluido el Project Management Institute , el National Institute of Standards and Technology , sociedades actuariales y la Organización Internacional de Normalización . [2] [3] [4] Los métodos, definiciones y objetivos varían ampliamente según si el método de gestión de riesgos se aplica en el contexto de la gestión de proyectos , la seguridad , la ingeniería , los procesos industriales , las carteras financieras , las evaluaciones actuariales o la salud y seguridad públicas . Ciertos estándares de gestión de riesgos han sido criticados por no tener una mejora mensurable en el riesgo, mientras que la confianza en las estimaciones y las decisiones parece aumentar. [1]

Las estrategias para gestionar amenazas (incertidumbres con consecuencias negativas) suelen incluir evitar la amenaza, reducir el efecto negativo o la probabilidad de la amenaza, transferir toda o parte de la amenaza a otra parte e incluso retener algunas o todas las consecuencias potenciales o reales de una amenaza en particular. La estrategia opuesta a estas estrategias se puede utilizar para responder a las oportunidades (estados futuros inciertos con beneficios).

Como función profesional , un gerente de riesgos [5] "supervisará el programa integral de seguros y gestión de riesgos de la organización, evaluando e identificando los riesgos que podrían impedir la reputación, la seguridad, la protección o el éxito financiero de la organización", y luego desarrollará planes para minimizar y/o mitigar cualquier resultado (financiero) negativo. Los analistas de riesgos [6] respaldan el lado técnico del enfoque de gestión de riesgos de la organización: una vez que se han recopilado y evaluado los datos de riesgo, los analistas comparten sus hallazgos con sus gerentes, quienes usan esos conocimientos para decidir entre las posibles soluciones. Véase también Director de riesgos , auditoría interna y Gestión de riesgos financieros § Finanzas corporativas .

Introducción

El riesgo se define como la posibilidad de que ocurra un evento que afecte negativamente el logro de un objetivo. La incertidumbre, por lo tanto, es un aspecto clave del riesgo.

La gestión de riesgos aparece en la literatura científica y de gestión desde la década de 1920. Se convirtió en una ciencia formal en la década de 1950, cuando los artículos y libros con "gestión de riesgos" en el título también aparecen en las búsquedas en bibliotecas. [7] La ​​mayor parte de la investigación estaba inicialmente relacionada con las finanzas y los seguros.

Una norma popular que aclara el vocabulario utilizado en la gestión de riesgos es la Guía ISO 31073:2022 , “Gestión de riesgos — Vocabulario”. [2]

Lo ideal en la gestión de riesgos es seguir un proceso de priorización, en el que se aborden primero los riesgos con mayor pérdida (o impacto) y mayor probabilidad de ocurrencia. Los riesgos con menor probabilidad de ocurrencia y menor pérdida se abordan en orden descendente. En la práctica, el proceso de evaluación del riesgo general puede ser complicado, y la organización tiene que equilibrar los recursos utilizados para mitigarlos entre los riesgos con mayor probabilidad pero menor pérdida y los riesgos con mayor pérdida pero menor probabilidad.

El costo de oportunidad representa un desafío único para los administradores de riesgos. Puede resultar difícil determinar cuándo destinar recursos a la gestión de riesgos y cuándo utilizarlos en otras áreas. Una vez más, la gestión ideal de riesgos optimiza el uso de los recursos (gastos, mano de obra, etc.) y también minimiza los efectos negativos de los riesgos.

Riesgos vs. oportunidades

Las oportunidades aparecen por primera vez en investigaciones académicas o libros de gestión en la década de 1990. El primer borrador del Project Management Body of Knowledge del PMBoK de 1987 no menciona las oportunidades en absoluto.

Las escuelas modernas de gestión de proyectos reconocen la importancia de las oportunidades. Las oportunidades se han incluido en la literatura sobre gestión de proyectos desde los años 1990, por ejemplo, en el PMBoK, y se convirtieron en una parte importante de la gestión de riesgos de proyectos en los años 2000, [8] cuando los artículos titulados "gestión de oportunidades" también comenzaron a aparecer en las búsquedas en bibliotecas. La gestión de oportunidades se convirtió así en una parte importante de la gestión de riesgos.

La teoría moderna de gestión de riesgos aborda cualquier tipo de evento externo, tanto positivo como negativo. Los riesgos positivos se denominan oportunidades . De manera similar a los riesgos, las oportunidades tienen estrategias de mitigación específicas: explotar, compartir, potenciar, ignorar.

En la práctica, los riesgos se consideran "normalmente negativos". La investigación y la práctica relacionadas con los riesgos se centran mucho más en las amenazas que en las oportunidades. Esto puede dar lugar a fenómenos negativos como la fijación en el objetivo . [9]

Método

En su mayor parte, estos métodos constan de los siguientes elementos, realizados, más o menos, en el siguiente orden:

  1. Identificar las amenazas .
  2. Evaluar la vulnerabilidad de los activos críticos ante amenazas específicas.
  3. Determinar el riesgo (es decir, la probabilidad esperada y las consecuencias de ataques específicos a activos específicos).
  4. Identificar formas de reducir esos riesgos.
  5. Priorizar las medidas de reducción de riesgos.

El área de conocimiento de gestión de riesgos, según lo define el Project Management Body of Knowledge (PMBoK), consta de los siguientes procesos:

  1. Planificar la gestión de riesgos : definir cómo llevar a cabo actividades de gestión de riesgos.
  2. Identificar riesgos : identificar los riesgos individuales del proyecto, así como sus fuentes.
  3. Realizar un análisis de riesgos cualitativo : priorizar los riesgos individuales del proyecto evaluando la probabilidad y el impacto.
  4. Realizar análisis cuantitativo de riesgos : análisis numérico de los efectos.
  5. Planificar respuestas al riesgo : desarrollar opciones, seleccionar estrategias y acciones.
  6. Implementar respuestas a los riesgos : implementar planes de respuesta a los riesgos acordados. En la cuarta edición del PMBoK, este proceso se incluyó como una actividad en el proceso de Monitoreo y control, pero luego se separó como un proceso distinto en la sexta edición del PMBoK [10] .
  7. Monitoreo de riesgos : monitoreo de la implementación. Este proceso se conocía como Monitoreo y control en la 4.ª edición del PMBoK anterior, cuando también incluía el proceso " Implementación de respuestas a riesgos ".

Principios

La Organización Internacional de Normalización (ISO) identifica los siguientes principios para la gestión de riesgos: [3]

  • Crear valor : los recursos gastados para mitigar el riesgo deben ser menores que las consecuencias de la inacción.
  • Ser parte integral de los procesos organizacionales.
  • Sea parte del proceso de toma de decisiones .
  • Abordar explícitamente la incertidumbre y las suposiciones.
  • Utilice un proceso sistemático y estructurado.
  • Utilice la mejor información disponible.
  • Sea flexible.
  • Tenga en cuenta los factores humanos.
  • Sea transparente e inclusivo.
  • Sea dinámico, iterativo y receptivo al cambio.
  • Ser capaz de mejorar y perfeccionar continuamente.
  • Reevaluación continua.

Riesgo leve versus riesgo extremo

Benoit Mandelbrot distinguió entre riesgo "leve" y "salvaje" y sostuvo que la evaluación y gestión del riesgo deben ser fundamentalmente diferentes para los dos tipos de riesgo. [11] El riesgo leve sigue distribuciones de probabilidad normales o casi normales , está sujeto a regresión a la media y a la ley de los grandes números y, por lo tanto, es relativamente predecible. El riesgo salvaje sigue distribuciones de cola gruesa , por ejemplo, distribuciones de Pareto o de ley de potencia , está sujeto a regresión a la cola (media o varianza infinita, lo que hace que la ley de los grandes números sea inválida o ineficaz) y, por lo tanto, es difícil o imposible de predecir. Un error común en la evaluación y gestión del riesgo es subestimar el carácter salvaje del riesgo, asumiendo que el riesgo es leve cuando, de hecho, es salvaje, lo que debe evitarse si se quiere que la evaluación y gestión del riesgo sean válidas y fiables, según Mandelbrot.

Proceso

Según la norma ISO 31000 , “Gestión de riesgos – Directrices”, el proceso de gestión de riesgos consta de varios pasos como se detalla a continuación: [3]

Estableciendo el contexto

Esto implica:

  1. Observar el contexto (el entorno de la organización)
    • El alcance social de la gestión de riesgos
    • La identidad y los objetivos de las partes interesadas
    • la base sobre la cual se evaluarán los riesgos, las restricciones.
  2. definir un marco para la actividad y una agenda para la identificación
  3. Desarrollar un análisis de los riesgos involucrados en el proceso.
  4. mitigación o solución de riesgos utilizando los recursos tecnológicos, humanos y organizativos disponibles

Identificación

Una vez establecido el contexto, el siguiente paso en el proceso de gestión de riesgos es identificar los riesgos potenciales. Los riesgos se refieren a eventos que, cuando se desencadenan, causan problemas o beneficios. Por lo tanto, la identificación de riesgos puede comenzar con la fuente de los problemas y los de los competidores (beneficio), o con las consecuencias del problema.

  • Análisis de fuentes [12] – Las fuentes de riesgo pueden ser internas o externas al sistema que es el objetivo de la gestión de riesgos (utilice mitigación en lugar de gestión ya que por su propia definición el riesgo trata con factores de toma de decisiones que no se pueden gestionar).

Algunos ejemplos de fuentes de riesgo son: las partes interesadas de un proyecto, los empleados de una empresa o el clima en un aeropuerto.

  • Análisis de problemas [ cita requerida ] – Los riesgos están relacionados con amenazas identificadas. Por ejemplo: la amenaza de perder dinero, la amenaza de abuso de información confidencial o la amenaza de errores humanos, accidentes y víctimas. Las amenazas pueden existir con varias entidades, las más importantes con los accionistas, clientes y órganos legislativos como el gobierno.

Cuando se conoce la fuente o el problema, se pueden investigar los eventos que una fuente puede desencadenar o los eventos que pueden conducir a un problema. Por ejemplo: las partes interesadas que se retiran durante un proyecto pueden poner en peligro la financiación del mismo; los empleados pueden robar información confidencial incluso dentro de una red cerrada; un rayo que cae sobre un avión durante el despegue puede provocar víctimas inmediatas a todas las personas a bordo.

El método elegido para identificar los riesgos puede depender de la cultura, las prácticas de la industria y el cumplimiento normativo. Los métodos de identificación se forman mediante plantillas o el desarrollo de plantillas para identificar la fuente, el problema o el evento. Los métodos de identificación de riesgos más comunes son:

  • Identificación de riesgos basada en objetivos [ cita requerida ] – Las organizaciones y los equipos de proyectos tienen objetivos. Cualquier evento que pueda impedir que se alcance un objetivo se identifica como riesgo.
  • Identificación de riesgos basada en escenarios: en el análisis de escenarios se crean diferentes escenarios. Los escenarios pueden ser formas alternativas de lograr un objetivo o un análisis de la interacción de fuerzas en, por ejemplo, un mercado o una batalla. Cualquier evento que desencadene una alternativa de escenario no deseada se identifica como riesgo; consulte Estudios de Futuros para conocer la metodología utilizada por los futuristas .
  • Identificación de riesgos basada en taxonomía: la taxonomía en la identificación de riesgos basada en taxonomía es un desglose de las posibles fuentes de riesgo. Con base en la taxonomía y el conocimiento de las mejores prácticas, se elabora un cuestionario. Las respuestas a las preguntas revelan los riesgos. [13]
  • Comprobación de riesgos comunes [14] – En varias industrias, existen listas con riesgos conocidos. Cada riesgo de la lista puede comprobarse para ver si se aplica a una situación particular. [15]
  • Gráficos de riesgo [16] – Este método combina los enfoques anteriores al enumerar los recursos en riesgo, las amenazas a esos recursos, los factores modificadores que pueden aumentar o disminuir el riesgo y las consecuencias que se desea evitar. La creación de una matriz bajo estos encabezados permite una variedad de enfoques. Se puede comenzar con los recursos y considerar las amenazas a las que están expuestos y las consecuencias de cada una. Alternativamente, se puede comenzar con las amenazas y examinar qué recursos afectarían, o se puede comenzar con las consecuencias y determinar qué combinación de amenazas y recursos estaría involucrada para generarlas.

Evaluación

Una vez identificados los riesgos, es necesario evaluarlos en cuanto a la gravedad potencial de su impacto (generalmente un impacto negativo, como daños o pérdidas) y la probabilidad de que ocurran. Estas cantidades pueden ser fáciles de medir, en el caso del valor de un edificio perdido, o imposibles de saber con certeza en el caso de un evento improbable, cuya probabilidad de ocurrencia es desconocida. Por lo tanto, en el proceso de evaluación es fundamental tomar las decisiones más informadas para priorizar adecuadamente la implementación del plan de gestión de riesgos .

Incluso una mejora positiva a corto plazo puede tener efectos negativos a largo plazo. Tomemos el ejemplo de las autopistas de peaje. Se ensancha una autopista para permitir más tráfico. Una mayor capacidad de tráfico conduce a un mayor desarrollo en las zonas que rodean la capacidad de tráfico mejorada. Con el tiempo, el tráfico aumenta para llenar la capacidad disponible. Por lo tanto, las autopistas de peaje deben ampliarse en ciclos aparentemente interminables. Hay muchos otros ejemplos de ingeniería en los que la capacidad ampliada (para realizar cualquier función) se llena rápidamente con una mayor demanda. Dado que la expansión tiene un costo, el crecimiento resultante podría volverse insostenible sin previsión y gestión.

La dificultad fundamental en la evaluación de riesgos es determinar la tasa de ocurrencia, ya que no se dispone de información estadística sobre todos los tipos de incidentes pasados ​​y es particularmente escasa en el caso de eventos catastróficos, simplemente por su poca frecuencia. Además, evaluar la gravedad de las consecuencias (impacto) suele ser bastante difícil para los activos intangibles. La valoración de activos es otra cuestión que debe abordarse. Por lo tanto, las opiniones mejor informadas y las estadísticas disponibles son las principales fuentes de información. Sin embargo, la evaluación de riesgos debe producir tal información para los altos ejecutivos de la organización que los riesgos primarios sean fáciles de entender y que las decisiones de gestión de riesgos puedan priorizarse dentro de los objetivos generales de la empresa. Por lo tanto, han existido varias teorías e intentos de cuantificar los riesgos. Existen numerosas fórmulas de riesgo diferentes, pero quizás la fórmula más aceptada para la cuantificación del riesgo es: "La tasa (o probabilidad) de ocurrencia multiplicada por el impacto del evento es igual a la magnitud del riesgo". [ vago ]

Opciones de riesgo

Las medidas de mitigación de riesgos suelen formularse de acuerdo con una o más de las siguientes opciones de riesgo principales, que son:

  1. Diseñar un nuevo proceso de negocio con medidas adecuadas de control y contención de riesgos integradas desde el principio.
  2. Reevaluar periódicamente los riesgos que se aceptan en los procesos en curso como una característica normal de las operaciones comerciales y modificar las medidas de mitigación.
  3. Transferir riesgos a una agencia externa (por ejemplo, una compañía de seguros)
  4. Evitar los riesgos por completo (por ejemplo, cerrando un área comercial de alto riesgo en particular)

Investigaciones posteriores [17] han demostrado que los beneficios financieros de la gestión de riesgos dependen menos de la fórmula utilizada y más de la frecuencia y de cómo se realiza la evaluación de riesgos.

En el mundo de los negocios, es imprescindible poder presentar los resultados de las evaluaciones de riesgos en términos financieros, de mercado o de cronograma. Robert Courtney Jr. (IBM, 1970) propuso una fórmula para presentar los riesgos en términos financieros. La fórmula de Courtney fue aceptada como el método oficial de análisis de riesgos para las agencias gubernamentales de los Estados Unidos. La fórmula propone el cálculo de la ALE (expectativa de pérdida anualizada) y compara el valor de la pérdida esperada con los costos de implementación del control de seguridad ( análisis de costo-beneficio ).

Tratamientos de riesgo potencial

Una vez identificados y evaluados los riesgos, todas las técnicas para gestionarlos se incluyen en una o más de estas cuatro categorías principales: [18]

  • Evitación (eliminar, retirarse o no involucrarse)
  • Reducción (optimizar – mitigar)
  • Compartir (transferir, externalizar o asegurar)
  • Retención (aceptación y presupuesto)

Puede que no sea posible hacer un uso ideal de estas estrategias de control de riesgos . Algunas de ellas pueden implicar compensaciones que no sean aceptables para la organización o la persona que toma las decisiones de gestión de riesgos. Otra fuente, del Departamento de Defensa de los EE. UU. (ver enlace), Defense Acquisition University , denomina a estas categorías ACAT (por sus siglas en inglés, Avoid, Control, Accept o Transfer). Este uso del acrónimo ACAT recuerda a otro ACAT (por Acquisition Category) utilizado en las adquisiciones de la industria de defensa de los EE. UU., en el que la gestión de riesgos ocupa un lugar destacado en la toma de decisiones y la planificación.

De manera similar a los riesgos, las oportunidades tienen estrategias de mitigación específicas: explotar, compartir, mejorar, ignorar.

Evitar riesgos

Esto incluye no realizar una actividad que podría presentar riesgo. Negarse a comprar una propiedad o negocio para evitar responsabilidad legal es un ejemplo de ello. Evitar vuelos en avión por miedo a un secuestro . Evitar riesgos puede parecer la respuesta a todos los riesgos, pero evitarlos también significa perder la ganancia potencial que podría haber permitido aceptar (retener) el riesgo. No entrar en un negocio para evitar el riesgo de pérdida también evita la posibilidad de obtener ganancias. El aumento de la regulación de riesgos en los hospitales ha llevado a evitar el tratamiento de enfermedades de mayor riesgo, en favor de pacientes que presentan un riesgo menor. [19]

Reducción de riesgos

La reducción de riesgos u "optimización" implica reducir la gravedad de la pérdida o la probabilidad de que ocurra. Por ejemplo, los rociadores están diseñados para apagar un incendio y reducir el riesgo de pérdida por incendio. Este método puede causar una mayor pérdida por daño por agua y, por lo tanto, puede no ser adecuado. Los sistemas de extinción de incendios con halón pueden mitigar ese riesgo, pero el costo puede ser prohibitivo como estrategia .

Reconociendo que los riesgos pueden ser positivos o negativos, optimizar los riesgos significa encontrar un equilibrio entre el riesgo negativo y el beneficio de la operación o actividad; y entre la reducción del riesgo y el esfuerzo aplicado. Al aplicar de manera eficaz las normas de gestión de la salud, la seguridad y el medio ambiente (HSE), las organizaciones pueden alcanzar niveles tolerables de riesgo residual . [20]

Las metodologías de desarrollo de software modernas reducen el riesgo al desarrollar y entregar software de manera incremental. Las primeras metodologías tenían el problema de que solo entregaban software en la fase final de desarrollo; cualquier problema que surgiera en las fases anteriores implicaba una costosa repetición del trabajo y, a menudo, ponía en peligro todo el proyecto. Al desarrollar en iteraciones, los proyectos de software pueden limitar el esfuerzo desperdiciado a una única iteración.

La subcontratación puede ser un ejemplo de estrategia de reparto de riesgos si el subcontratista puede demostrar una mayor capacidad para gestionar o reducir los riesgos. [21] Por ejemplo, una empresa puede subcontratar únicamente el desarrollo de software, la fabricación de bienes duraderos o las necesidades de atención al cliente a otra empresa, mientras que ella misma se encarga de la gestión empresarial. De esta forma, la empresa puede concentrarse más en el desarrollo empresarial sin tener que preocuparse tanto por el proceso de fabricación, la gestión del equipo de desarrollo o la búsqueda de una ubicación física para un centro. Asimismo, la implantación de controles también puede ser una opción para reducir el riesgo. Controles que detecten las causas de los eventos no deseados antes de que se produzcan las consecuencias durante el uso del producto, o que detecten las causas fundamentales de los fallos no deseados que el equipo pueda evitar. Los controles pueden centrarse en los procesos de gestión o de toma de decisiones. Todo ello puede ayudar a tomar mejores decisiones en relación con el riesgo. [22]

Reparto de riesgos

Definido brevemente como "compartir con otra parte la carga de la pérdida o el beneficio de la ganancia, proveniente de un riesgo, y las medidas para reducir un riesgo".

El término "transferencia de riesgo" se utiliza a menudo en lugar de "compartir el riesgo" en la creencia errónea de que se puede transferir un riesgo a un tercero a través de un seguro o de la subcontratación. En la práctica, si la compañía de seguros o el contratista quiebran o terminan en los tribunales, es probable que el riesgo original revierta a la primera parte. Por ello, en la terminología de los profesionales y los académicos, la compra de un contrato de seguro se describe a menudo como una "transferencia de riesgo". Sin embargo, técnicamente hablando, el comprador del contrato generalmente conserva la responsabilidad legal por las pérdidas "transferidas", lo que significa que el seguro puede describirse con mayor precisión como un mecanismo de compensación posterior al evento. Por ejemplo, una póliza de seguro de lesiones personales no transfiere el riesgo de un accidente automovilístico a la compañía de seguros. El riesgo sigue estando en manos del asegurado, es decir, la persona que ha estado involucrada en el accidente. La póliza de seguro simplemente establece que si ocurre un accidente (el evento) que involucra al asegurado, se le puede pagar una compensación al asegurado que sea proporcional al sufrimiento/daño.

Los métodos de gestión del riesgo se dividen en varias categorías. Los fondos de retención de riesgos técnicamente retienen el riesgo para el grupo, pero distribuirlo entre todo el grupo implica una transferencia entre los miembros individuales del grupo. Esto es diferente del seguro tradicional, en el sentido de que no se intercambia ninguna prima entre los miembros del grupo por adelantado, sino que las pérdidas se evalúan para todos los miembros del grupo.

Retención de riesgos

La retención de riesgos implica aceptar la pérdida, o el beneficio de la ganancia, de un riesgo cuando ocurre el incidente. El verdadero autoseguro cae en esta categoría. La retención de riesgos es una estrategia viable para riesgos pequeños en los que el costo de asegurar contra el riesgo sería mayor con el tiempo que las pérdidas totales sufridas. Todos los riesgos que no se evitan o transfieren se retienen por defecto. Esto incluye los riesgos que son tan grandes o catastróficos que no se pueden asegurar o las primas serían inviables. La guerra es un ejemplo, ya que la mayoría de las propiedades y los riesgos no están asegurados contra la guerra, por lo que la pérdida atribuida a la guerra es retenida por el asegurado. También cualquier monto de pérdida potencial (riesgo) que exceda el monto asegurado es riesgo retenido. Esto también puede ser aceptable si la probabilidad de una pérdida muy grande es pequeña o si el costo de asegurar montos de cobertura mayores es tan grande que obstaculizaría demasiado los objetivos de la organización.

Plan de gestión de riesgos

Seleccione los controles o contramedidas adecuados para mitigar cada riesgo. La mitigación de riesgos debe ser aprobada por el nivel de gestión adecuado. Por ejemplo, un riesgo relacionado con la imagen de la organización debe contar con la aprobación de la alta dirección, mientras que la dirección de TI tendría la autoridad para decidir sobre los riesgos de virus informáticos.

El plan de gestión de riesgos debe proponer controles de seguridad aplicables y eficaces para gestionar los riesgos. Por ejemplo, un alto riesgo observado de virus informáticos podría mitigarse mediante la adquisición e implementación de software antivirus. Un buen plan de gestión de riesgos debe contener un cronograma para la implementación de controles y personas responsables de esas acciones. Hay cuatro pasos básicos del plan de gestión de riesgos, que son la evaluación de amenazas, la evaluación de vulnerabilidades, la evaluación de impacto y el desarrollo de una estrategia de mitigación de riesgos. [23]

Según la norma ISO/IEC 27001 , la etapa inmediatamente posterior a la finalización de la fase de evaluación de riesgos consiste en preparar un Plan de Tratamiento de Riesgos, que debe documentar las decisiones sobre cómo se debe gestionar cada uno de los riesgos identificados. La mitigación de riesgos a menudo implica la selección de controles de seguridad , que deben documentarse en una Declaración de Aplicabilidad, que identifica qué objetivos de control y controles particulares de la norma se han seleccionado y por qué.

Implementación

La implementación sigue todos los métodos planificados para mitigar el efecto de los riesgos. Contratar pólizas de seguros para los riesgos que se ha decidido transferir a una aseguradora, evitar todos los riesgos que se puedan evitar sin sacrificar los objetivos de la entidad, reducir otros y retener el resto.

Revisión y evaluación del plan

Los planes iniciales de gestión de riesgos nunca serán perfectos. La práctica, la experiencia y los resultados reales de las pérdidas requerirán cambios en el plan y aportarán información que permita tomar posibles decisiones diferentes para hacer frente a los riesgos a los que se enfrenta.

Los resultados del análisis de riesgos y los planes de gestión deben actualizarse periódicamente. Existen dos razones principales para ello:

  1. Evaluar si los controles de seguridad previamente seleccionados siguen siendo aplicables y efectivos.
  2. Evaluar los posibles cambios en el nivel de riesgo en el entorno empresarial. Por ejemplo, los riesgos de información son un buen ejemplo de un entorno empresarial que cambia rápidamente.

Áreas

Empresa

La gestión de riesgos empresariales (ERM) define el riesgo como aquellos posibles eventos o circunstancias que pueden tener influencias negativas sobre la empresa en cuestión, donde el impacto puede ser sobre la propia existencia, los recursos (humanos y de capital), los productos y servicios, o los clientes de la empresa, así como impactos externos sobre la sociedad, los mercados o el medio ambiente. Aquí hay varios marcos definidos , donde cada riesgo probable puede tener un plan pre-formulado para lidiar con sus posibles consecuencias (para asegurar la contingencia si el riesgo se convierte en un pasivo ). De esta manera, los gerentes analizan y monitorean tanto el entorno interno como el externo que enfrenta la empresa, abordando el riesgo comercial en general y cualquier impacto en la consecución de los objetivos estratégicos de la empresa . La ERM, por lo tanto, se superpone a varias otras disciplinas ( gestión del riesgo operativo , gestión del riesgo financiero , etc.), pero se diferencia por su enfoque estratégico y de largo plazo. [24] Los sistemas ERM generalmente se enfocan en salvaguardar la reputación, reconociendo su papel significativo en las estrategias integrales de gestión de riesgos. [25]

Finanzas

Tal como se aplica al ámbito financiero , la gestión de riesgos se refiere a las técnicas y prácticas para medir, monitorear y controlar el riesgo de mercado y de crédito (y el riesgo operacional ) en el balance de una empresa , en la exposición crediticia de un banco o en el valor de la cartera de un administrador de fondos ; para obtener una descripción general, consulte Finanzas § Gestión de riesgos .

Gestión de riesgos contractuales

El concepto de “gestión de riesgos contractuales” hace hincapié en el uso de técnicas de gestión de riesgos en la ejecución de contratos, es decir, en la gestión de los riesgos que se aceptan al celebrar un contrato. El académico noruego Petri Keskitalo define la “gestión de riesgos contractuales” como “un método de contratación práctico, proactivo y sistemático que utiliza la planificación y la gobernanza de los contratos para gestionar los riesgos relacionados con las actividades comerciales”. [26] En un artículo de Samuel Greengard publicado en 2010, se mencionan dos casos judiciales estadounidenses que enfatizan la importancia de tener una estrategia para abordar el riesgo: [27]

Greengard recomienda utilizar un lenguaje contractual estándar de la industria tanto como sea posible para reducir el riesgo tanto como sea posible y confiar en cláusulas que han estado en uso y sujetas a la interpretación judicial establecida durante varios años. [27]

Aduanas

La gestión de riesgos aduaneros se ocupa de los riesgos que surgen en el contexto del comercio internacional y que tienen relación con la seguridad y la protección, incluido el riesgo de que las drogas ilícitas y las mercancías falsificadas puedan pasar a través de las fronteras y el riesgo de que los envíos y sus contenidos se declaren incorrectamente. [30] La Unión Europea ha adoptado un Marco de Gestión de Riesgos Aduaneros (CRMF) aplicable en toda la Unión y en todos sus Estados miembros , cuyos objetivos incluyen establecer un nivel común de protección del control aduanero y un equilibrio entre los objetivos de un control aduanero seguro y la facilitación del comercio legítimo. [31] Dos eventos que llevaron a la Comisión Europea a revisar la política de gestión de riesgos aduaneros en 2012-13 fueron los ataques del 11 de septiembre de 2001 y el complot transatlántico de bombas en un avión en 2010 que involucraba paquetes que se enviaban desde Yemen a los Estados Unidos , al que la Comisión se refirió como "el incidente de octubre de 2010 (Yemen)". [32]

Instituciones de la memoria(museos, bibliotecas y archivos)

Seguridad empresarial

ESRM es un enfoque de gestión de programas de seguridad que vincula las actividades de seguridad con la misión y los objetivos comerciales de una empresa a través de métodos de gestión de riesgos. El rol del líder de seguridad en ESRM es gestionar los riesgos de daño a los activos de la empresa en asociación con los líderes empresariales cuyos activos están expuestos a esos riesgos. ESRM implica educar a los líderes empresariales sobre los impactos realistas de los riesgos identificados, presentar estrategias potenciales para mitigar esos impactos y luego implementar la opción elegida por la empresa de acuerdo con los niveles aceptados de tolerancia al riesgo empresarial [33].

Dispositivos médicos

En el caso de los dispositivos médicos , la gestión de riesgos es un proceso para identificar, evaluar y mitigar los riesgos asociados con daños a las personas y daños a la propiedad o al medio ambiente. La gestión de riesgos es una parte integral del diseño y desarrollo de dispositivos médicos, los procesos de producción y la evaluación de la experiencia de campo, y es aplicable a todo tipo de dispositivos médicos. La evidencia de su aplicación es requerida por la mayoría de los organismos reguladores, como la FDA de EE. UU . La gestión de riesgos para dispositivos médicos está descrita por la Organización Internacional de Normalización (ISO) en ISO 14971:2019 , Dispositivos médicos: la aplicación de la gestión de riesgos a los dispositivos médicos, una norma de seguridad de productos. La norma proporciona un marco de procesos y requisitos asociados para las responsabilidades de gestión, el análisis y la evaluación de riesgos, los controles de riesgos y la gestión de riesgos del ciclo de vida. La orientación sobre la aplicación de la norma está disponible a través de ISO/TR 24971:2020.

La versión europea de la norma de gestión de riesgos se actualizó en 2009 y nuevamente en 2012 para hacer referencia a la Directiva de dispositivos médicos (MDD) y la Directiva de dispositivos médicos implantables activos (AIMDD) revisada en 2007, así como a la Directiva de dispositivos médicos in vitro (IVDD). Los requisitos de la norma EN 14971:2012 son casi idénticos a los de la norma ISO 14971:2007. Las diferencias incluyen tres Anexos Z "(informativos)" que hacen referencia a la nueva MDD, AIMDD e IVDD. Estos anexos indican desviaciones de contenido que incluyen el requisito de que los riesgos se reduzcan lo más posible y el requisito de que los riesgos se mitiguen mediante el diseño y no mediante el etiquetado en el dispositivo médico (es decir, el etiquetado ya no se puede utilizar para mitigar el riesgo).

Las técnicas típicas de análisis y evaluación de riesgos adoptadas por la industria de dispositivos médicos incluyen análisis de peligros , análisis de árbol de fallas (FTA), análisis de modo de falla y efectos (FMEA), estudio de peligros y operabilidad ( HAZOP ) y análisis de trazabilidad de riesgos para garantizar que se implementen controles de riesgo y sean efectivos (es decir, seguimiento de los riesgos identificados para los requisitos del producto, especificaciones de diseño, resultados de verificación y validación, etc.). El análisis de FTA requiere software de diagramación. El análisis FMEA se puede realizar utilizando un programa de hoja de cálculo . También existen soluciones integradas de gestión de riesgos de dispositivos médicos.

A través de un borrador de guía, la FDA ha introducido otro método llamado "Caso de Garantía de Seguridad" para el análisis de garantía de seguridad de dispositivos médicos. El caso de garantía de seguridad es un razonamiento argumentativo estructurado sobre sistemas apropiados para científicos e ingenieros, respaldado por un conjunto de evidencias, que proporciona un caso convincente, comprensible y válido de que un sistema es seguro para una aplicación determinada en un entorno determinado. Con la guía, se espera un caso de garantía de seguridad para dispositivos críticos para la seguridad (por ejemplo, dispositivos de infusión) como parte de la presentación de la autorización previa a la comercialización, por ejemplo, 510(k). En 2013, la FDA presentó otro borrador de guía que esperaba que los fabricantes de dispositivos médicos presentaran información de análisis de riesgos de ciberseguridad.

Gestión de proyectos

La gestión de riesgos de proyectos debe tenerse en cuenta en las diferentes fases de adquisición. Al comienzo de un proyecto, el avance de los desarrollos técnicos o las amenazas que presentan los proyectos de un competidor pueden provocar una evaluación de riesgos o amenazas y una posterior evaluación de alternativas (véase Análisis de alternativas ). Una vez tomada una decisión y comenzado el proyecto, se pueden utilizar aplicaciones de gestión de proyectos más conocidas: [34] [35] [36]

  • Planificación de cómo se gestionarán los riesgos en el proyecto en particular. Los planes deben incluir tareas, responsabilidades, actividades y presupuesto de gestión de riesgos.
  • Designación de un responsable de riesgos: un miembro del equipo que no sea el director del proyecto y que se encarga de prever posibles problemas del proyecto. La característica típica del responsable de riesgos es un sano escepticismo.
  • Mantener una base de datos de riesgos del proyecto en vivo. Cada riesgo debe tener los siguientes atributos: fecha de apertura, título, breve descripción, probabilidad e importancia. Opcionalmente, un riesgo puede tener una persona asignada responsable de su resolución y una fecha en la que el riesgo debe ser resuelto.
  • Creación de un canal anónimo de denuncia de riesgos. Cada miembro del equipo debe tener la posibilidad de denunciar los riesgos que prevea en el proyecto.
  • Elaborar planes de mitigación para los riesgos que se han elegido mitigar. El objetivo del plan de mitigación es describir cómo se manejará ese riesgo en particular: qué, cuándo, quién lo hará y cómo se hará para evitarlo o minimizar las consecuencias si se convierte en un pasivo.
  • Resumiendo los riesgos planificados y afrontados, la eficacia de las actividades de mitigación y el esfuerzo invertido en la gestión de riesgos.

Megaproyectos (infraestructura)

Los megaproyectos (a veces también llamados "grandes programas") son proyectos de inversión a gran escala, cuyo costo suele superar los mil millones de dólares cada uno. Entre ellos se incluyen grandes puentes, túneles, autopistas, ferrocarriles, aeropuertos, puertos marítimos, centrales eléctricas, represas, proyectos de tratamiento de aguas residuales, sistemas de protección contra inundaciones costeras, proyectos de extracción de petróleo y gas natural, edificios públicos, sistemas de tecnología de la información, proyectos aeroespaciales y sistemas de defensa. Se ha demostrado que los megaproyectos son particularmente riesgosos en términos de finanzas, seguridad e impactos sociales y ambientales. Por lo tanto, la gestión de riesgos es particularmente pertinente para los megaproyectos y se han desarrollado métodos especiales y educación especial para dicha gestión de riesgos. [37]

Desastres naturales

Es importante evaluar el riesgo en relación con desastres naturales como inundaciones , terremotos , etc. Los resultados de la evaluación del riesgo de desastres naturales son valiosos al considerar los costos futuros de reparación, las pérdidas por interrupción de negocios y otros tiempos de inactividad, los efectos sobre el medio ambiente, los costos de seguros y los costos propuestos para reducir el riesgo. [38] [39] El Marco de Sendai para la Reducción del Riesgo de Desastres es un acuerdo internacional de 2015 que ha establecido objetivos y metas para la reducción del riesgo de desastres en respuesta a los desastres naturales. [40] En Davos se celebran periódicamente Conferencias Internacionales sobre Desastres y Riesgos para abordar la gestión integral del riesgo.

Se pueden utilizar varias herramientas para evaluar y gestionar el riesgo de desastres naturales y otros fenómenos climáticos, entre ellas, la modelización geoespacial, un componente clave de la ciencia del cambio climático . Esta modelización requiere una comprensión de las distribuciones geográficas de las personas, así como la capacidad de calcular la probabilidad de que ocurra un desastre natural.

Desierto

La gestión de riesgos para las personas y la propiedad en áreas naturales remotas y silvestres ha evolucionado con el aumento de la participación en actividades recreativas al aire libre y la disminución de la tolerancia social a las pérdidas. Las organizaciones que ofrecen experiencias comerciales en áreas silvestres ahora pueden alinearse con los estándares de consenso nacionales e internacionales para capacitación y equipamiento, como ANSI /NASBLA 101-2017 (navegación), [41] UIAA 152 (herramientas para escalada en hielo), [42] y la Norma Europea 13089:2015 + A1:2015 (equipo de montañismo). [43] [44] La Asociación para la Educación Experiencial ofrece acreditación para programas de aventuras en áreas silvestres. [45] La Conferencia de Gestión de Riesgos en Áreas Silvestres brinda acceso a las mejores prácticas, y organizaciones especializadas brindan consultoría y capacitación en gestión de riesgos en áreas silvestres. [46]

El texto Outdoor Safety – Risk Management for Outdoor Leaders, [47] publicado por el Consejo de Seguridad de Montaña de Nueva Zelanda, ofrece una visión de la gestión de riesgos en áreas silvestres desde la perspectiva de Nueva Zelanda, reconociendo el valor de la legislación nacional sobre seguridad al aire libre y dedicando considerable atención a los roles de los procesos de juicio y toma de decisiones en la gestión de riesgos en áreas silvestres.

Uno de los modelos más populares para la evaluación de riesgos es el Modelo de Evaluación de Riesgos y Gestión de Seguridad (RASM, por sus siglas en inglés) desarrollado por Rick Curtis, autor de The Backpacker's Field Manual. [48] La fórmula para el Modelo RASM es: Riesgo = Probabilidad de Accidente × Gravedad de las Consecuencias. El Modelo RASM pondera el riesgo negativo (el potencial de pérdida) contra el riesgo positivo (el potencial de crecimiento).

Tecnologías de la información

El riesgo de TI es un riesgo relacionado con la tecnología de la información. Se trata de un término relativamente nuevo debido a la creciente conciencia de que la seguridad de la información es simplemente una faceta de una multitud de riesgos que son relevantes para la TI y los procesos del mundo real que respalda. "La ciberseguridad está estrechamente vinculada al avance de la tecnología. Se retrasa sólo el tiempo suficiente para que surjan incentivos como los mercados negros y se descubran nuevos exploits. No se vislumbra un final para el avance de la tecnología, por lo que podemos esperar lo mismo de la ciberseguridad". [49]

El marco de trabajo de riesgo de TI de ISACA vincula el riesgo de TI con la gestión de riesgos empresariales. El análisis de riesgo de deber de cuidado (DoCRA) evalúa los riesgos y sus salvaguardas y considera los intereses de todas las partes potencialmente afectadas por esos riesgos. [50] El informe de investigaciones de violación de datos de Verizon (DBIR) presenta cómo las organizaciones pueden aprovechar la base de datos de la comunidad de Veris (VCDB) para estimar el riesgo. Al utilizar la metodología HALOCK dentro de CIS RAM y los datos de VCDB, los profesionales pueden determinar la probabilidad de amenazas para sus industrias.

La gestión de riesgos de TI incluye la " gestión de incidentes ", un plan de acción para hacer frente a intrusiones, robos cibernéticos, denegación de servicio, incendios, inundaciones y otros eventos relacionados con la seguridad. Según el SANS Institute , se trata de un proceso de seis pasos: preparación, identificación, contención, erradicación, recuperación y lecciones aprendidas. [51]

Operaciones

La gestión del riesgo operativo (GRO) es la supervisión del riesgo operativo , incluido el riesgo de pérdida resultante de: procesos y sistemas internos inadecuados o fallidos; factores humanos; o eventos externos. Dada la naturaleza de las operaciones , la GRO es típicamente un proceso "continuo" e incluirá la evaluación de riesgos en curso, la toma de decisiones sobre riesgos y la implementación de controles de riesgo.

Petróleo y gas natural

En el caso de la industria del petróleo y el gas en alta mar, la gestión de riesgos operativos está regulada por el régimen de casos de seguridad en muchos países. Las herramientas y técnicas de identificación de peligros y evaluación de riesgos se describen en la norma internacional ISO 17776:2000, y organizaciones como la IADC (Asociación Internacional de Contratistas de Perforación) publican directrices para el desarrollo de casos de salud, seguridad y medio ambiente (HSE) que se basan en la norma ISO. Además, los reguladores gubernamentales suelen esperar representaciones diagramáticas de eventos peligrosos como parte de la gestión de riesgos en las presentaciones de casos de seguridad; estos se conocen como diagramas de pajarita (consulte Teoría de redes en la evaluación de riesgos ). La técnica también la utilizan organizaciones y reguladores en minería, aviación, salud, defensa, industria y finanzas.

Sector farmacéutico

Los principios y herramientas de la gestión de riesgos de calidad se aplican cada vez más a diferentes aspectos de los sistemas de calidad farmacéutica. Estos aspectos incluyen los procesos de desarrollo, fabricación, distribución, inspección y presentación/revisión a lo largo del ciclo de vida de las sustancias farmacéuticas, los productos farmacéuticos, los productos biológicos y biotecnológicos (incluido el uso de materias primas, disolventes, excipientes, materiales de envasado y etiquetado en productos farmacéuticos, productos biológicos y biotecnológicos). La gestión de riesgos también se aplica a la evaluación de la contaminación microbiológica en relación con los productos farmacéuticos y los entornos de fabricación en salas blancas. [52]

Cadena de suministro

La gestión de riesgos de la cadena de suministro (SCRM) tiene como objetivo mantener la continuidad de la cadena de suministro en caso de escenarios o incidentes que puedan interrumpir el funcionamiento normal de la empresa y, por lo tanto, su rentabilidad. Los riesgos para la cadena de suministro varían desde los cotidianos hasta los excepcionales, incluidos los eventos naturales impredecibles (como tsunamis y pandemias ) y los productos falsificados, y abarcan la calidad, la seguridad, la resiliencia y la integridad del producto. La mitigación de estos riesgos puede involucrar varios elementos de la empresa, como la logística y la ciberseguridad, así como las áreas de finanzas y operaciones.

Comunicación de riesgos

La comunicación de riesgos es un campo académico interdisciplinario complejo que forma parte de la gestión de riesgos y está relacionado con campos como la comunicación de crisis . El objetivo es asegurarse de que las audiencias objetivo comprendan cómo los riesgos los afectan a ellos o a sus comunidades apelando a sus valores. [53] [54]

La comunicación de riesgos es particularmente importante en la preparación para desastres , [55] salud pública , [56] y preparación para riesgos catastróficos globales mayores . [55] Por ejemplo, los impactos del cambio climático y el riesgo climático afectan a cada parte de la sociedad, por lo que comunicar ese riesgo es una práctica importante de comunicación climática , para que las sociedades planifiquen la adaptación climática . [57] De manera similar, en la prevención de pandemias , la comprensión del riesgo ayuda a las comunidades a detener la propagación de enfermedades y mejorar las respuestas. [58]

La comunicación de riesgos se ocupa de los posibles riesgos y tiene como objetivo crear conciencia sobre ellos para alentar o persuadir a que se produzcan cambios en el comportamiento que permitan aliviar las amenazas a largo plazo. Por otra parte, la comunicación de crisis tiene como objetivo crear conciencia sobre un tipo específico de amenaza, su magnitud, sus resultados y los comportamientos específicos que se deben adoptar para reducir la amenaza. [59]

La comunicación de riesgos en materia de inocuidad alimentaria forma parte del marco de análisis de riesgos . Junto con la evaluación y la gestión de riesgos, la comunicación de riesgos tiene por objeto reducir las enfermedades transmitidas por los alimentos . La comunicación de riesgos en materia de inocuidad alimentaria es una actividad obligatoria para las autoridades de inocuidad alimentaria [60] en los países que adoptaron el Acuerdo sobre la Aplicación de Medidas Sanitarias y Fitosanitarias .

La comunicación de riesgos también existe en menor escala. Por ejemplo, los riesgos asociados a decisiones médicas personales deben ser comunicados a esa persona y a su familia. [61]

Véase también

Referencias

  1. ^ ab Hubbard, Douglas (2009). El fracaso de la gestión de riesgos: por qué no funciona y cómo solucionarlo . John Wiley & Sons. pág. 46. ISBN 9781119522034.
  2. ^ ab ISO 31073:2022 — Gestión de riesgos — Vocabulario. Febrero de 2022. Consultado el 17 de julio de 2024 .
  3. ^ abc ISO 31000:2018 — Gestión de riesgos — Directrices. Febrero de 2018. Consultado el 17 de julio de 2024 .
  4. ^ ISO 31000:2018 – Gestión de riesgos – Una guía práctica (1.ª edición). ISO, ONUDI. 2021. ISBN 978-92-67-11233-6. Recuperado el 17 de diciembre de 2021 .
  5. ^ "Gestor de Riesgos" Sociedad para la Gestión de Recursos Humanos
  6. ^ "¿Qué son los analistas de riesgos y los gestores de riesgos?", CFA Institute
  7. ^ Dionne, Georges (2013). "Gestión de riesgos: historia, definición y crítica: Gestión de riesgos". Risk Management and Insurance Review . 16 (2): 147–166. doi :10.1111/rmir.12016. S2CID  154679294.
  8. ^ "El ascenso del riesgo". www.pmi.org . Consultado el 13 de diciembre de 2021 .
  9. ^ "La fijación de objetivos en la gestión de riesgos. Argumentos a favor del lado positivo del riesgo". Stefan Morcov . 2021 . Consultado el 13 de diciembre de 2021 .
  10. ^ Morcov, Stefan (2021). Gestión de la complejidad positiva y negativa: diseño y validación de un marco de gestión de la complejidad de proyectos de TI. Universidad KU Leuven. Disponible en https://lirias.kuleuven.be/retrieve/637007
  11. ^ Mandelbrot, Benoit y Richard L. Hudson (2008). El (mal) comportamiento de los mercados: una visión fractal del riesgo, la ruina y la recompensa . Londres: Profile Books. ISBN 9781846682629.
  12. ^ "Identificación de riesgos" (PDF) . Comunidad de Madrid. pag. 3.
  13. ^ CMU/SEI-93-TR-6 Identificación de riesgos basada en taxonomía en la industria del software. Sei.cmu.edu. Recuperado el 17 de abril de 2012.
  14. ^ "Lista de verificación de sistemas de gestión de riesgos (elementos comunes)" (PDF) . www.fsa.go.jpn .
  15. ^ Lista de vulnerabilidades y exposiciones comunes. Cve.mitre.org. Consultado el 17 de abril de 2012.
  16. ^ Crockford, Neil (1986). Introducción a la gestión de riesgos (2.ª ed.). Cambridge, Reino Unido: Woodhead-Faulkner. pág. 18. ISBN 0-85941-332-2.
  17. ^ "Preguntas del examen CRISC" . Consultado el 23 de febrero de 2018 .
  18. ^ Dorfman, Mark S. (2007). Introducción a la gestión de riesgos y seguros (novena edición). Englewood Cliffs, Nueva Jersey: Prentice Hall. ISBN 978-0-13-224227-1.
  19. ^ McGivern, Gerry; Fischer, Michael D. (1 de febrero de 2012). "Reactividad y reacciones a la transparencia regulatoria en medicina, psicoterapia y asesoramiento" (PDF) . Ciencias Sociales y Medicina . 74 (3): 289–296. doi :10.1016/j.socscimed.2011.09.035. PMID  22104085. Archivado desde el original (PDF) el 21 de abril de 2018 . Consultado el 20 de abril de 2018 .
  20. ^ Directrices de casos de HSE de la IADC para unidades móviles de perforación en alta mar Archivado el 3 de mayo de 2017 en Wayback Machine 3.2, sección 4.7
  21. ^ Roehrig, P (2006). "Apueste por la gobernanza para gestionar el riesgo de la externalización". Business Trends Quarterly . Archivado desde el original el 1 de septiembre de 2018. Consultado el 7 de septiembre de 2007 .
  22. ^ Shashi; Centobelli, Piera; Cerchione, Roberto; Ertz, Myriam (2020). "Gestión de la resiliencia de la cadena de suministro para perseguir estrategias empresariales y ambientales". Estrategia empresarial y medio ambiente . 29 (3): 1215–1246. doi :10.1002/bse.2428. ISSN  0964-4733. S2CID  213432044.
  23. ^ Snedaker, Susan (2014). Planificación de la continuidad empresarial y la recuperación ante desastres para profesionales de TI. Chris Rima (2.ª ed.). Waltham, MA: Syngress. ISBN 978-1-299-85332-4.OCLC 858657442  .
  24. ^ Instituto de Profesionales de Riesgo Empresarial "Distinción entre los enfoques ERM y ORM".
  25. ^ "Eliminar el riesgo de la gestión de riesgos: enfoque holístico de la gestión de riesgos empresariales". Dirección estratégica . 32 (5): 28–30. 2016-01-01. doi :10.1108/SD-02-2016-0030. ISSN  0258-0543.
  26. ^ Universidad de Tromsø, Gestión de riesgos contractuales (C-RM), consultado el 6 de enero de 2021
  27. ^ ab Greengard, S. (2010), La diferencia está en los detalles, Engineering Inc., septiembre/octubre de 2010, páginas 13-15
  28. ^ UDC–UNIVERSAL DEVELOPMENT, LP, Contrademandante y demandado, v. CH2M HILL, Contrademandado y apelante, Tribunal de Apelaciones, Sexto Distrito, California, 15 de enero de 2010, consultado el 7 de enero de 2021
  29. ^ Estado de Florida, Witt v. La Gorce Country Club, Tribunal de Apelaciones del Tercer Distrito, 10 de junio de 2009, consultado el 6 de enero de 2021
  30. ^ Comisión Europea, Marco de gestión de riesgos aduaneros (CRMF), consultado el 28 de marzo de 2023
  31. ^ Comisión Europea, La gestión de riesgos aduaneros en detalle, consultado el 28 de marzo de 2023
  32. ^ Comisión Europea, Comunicación de la Comisión al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo sobre la gestión de los riesgos aduaneros y la seguridad de la cadena de suministro, COM(2012) 793 final, página 3, publicada el 8 de enero de 2013, consultada el 27 de diciembre de 2023
  33. ^ ASIS https://www.asisonline.org/publications--resources/news/blog/esrm-an-enduring-security-risk-model/
  34. ^ Lev Virine y Michael Trumper. Decisiones de proyecto: el arte y la ciencia . (2007). Conceptos de gestión. Viena. VA. ISBN 978-1-56726-217-9 
  35. ^ Lev Virine y Michael Trumper. ProjectThink: Por qué los buenos gerentes toman malas decisiones en materia de proyectos . Gower Pub Co. ISBN 978-1409454984 
  36. ^ Peter Simon y David Hillson, Gestión práctica de riesgos: la metodología ATOM (2012). Conceptos de gestión. Viena, VA. ISBN 978-1567263664 
  37. ^ Centro BT de Oxford para la gestión de programas importantes
  38. ^ Berman, Alan. Cómo elaborar un plan de continuidad empresarial eficaz. Business Insurance Magazine , 9 de marzo de 2015. http://www.businessinsurance.com/article/20150309/ISSUE0401/303159991/constructing-a-successful-business-continuity-plan
  39. ^ Craig Taylor; Erik VanMarcke, eds. (2002). Procesos de riesgo aceptable: líneas de vida y peligros naturales. Reston, VA: ASCE, TCLEE. ISBN 9780784406236. Archivado desde el original el 3 de diciembre de 2013.
  40. ^ Rowling, Megan (18 de marzo de 2015). «Nuevo plan global contra desastres establece objetivos para frenar el riesgo y las pérdidas». Reuters . Archivado desde el original el 4 de marzo de 2016. Consultado el 13 de enero de 2016 .
  41. ^ "Estándar nacional estadounidense ANSI/NASBLA 101-2017: Conocimientos básicos sobre navegación a motor" (PDF) . Consultado el 1 de noviembre de 2018 .
  42. ^ "Norma UIAA 152: Herramientas para hielo" (PDF) . Archivado desde el original (PDF) el 2020-08-20 . Consultado el 2018-11-01 .
  43. ^ "EN 13089 Equipo de alpinismo – Herramientas para hielo – Requisitos de seguridad y métodos de ensayo (incluye la modificación A1:2015)" . Consultado el 1 de noviembre de 2018 .
  44. ^ "Norma irlandesa ISEN 13089:2011+A1:2015 Equipo de montañismo – Herramientas para hielo – Requisitos de seguridad y métodos de prueba" (PDF) . Consultado el 1 de noviembre de 2018 .
  45. ^ "Asociación para la Educación Experiencial" . Consultado el 1 de noviembre de 2018 .
  46. ^ "Servicios de riesgo de NOLS" . Consultado el 1 de noviembre de 2018 .
  47. ^ Haddock (2013). Seguridad al aire libre: gestión de riesgos para líderes al aire libre. Wellington, Nueva Zelanda: Consejo de Seguridad en la Montaña de Nueva Zelanda. ISBN 9780908931309.
  48. ^ Schneider, Ari (23 de mayo de 2018). Liderazgo y educación al aire libre . ISBN 9781732348202.
  49. ^ Arnold, Rob (2017). Ciberseguridad: una solución empresarial . Threat Sketch. pág. 4. ISBN 978-0692944158.
  50. ^ "Estándar de análisis de riesgos del deber de cuidado (DoCRA)". DoCRA . Archivado desde el original el 2018-08-14 . Consultado el 2018-08-22 .
  51. ^ Glosario de términos de seguridad de SANS Recuperado el 13 de noviembre de 2016
  52. ^ Saghee, M; Sandle, T; Tidswell, E, eds. (2011). Microbiología y garantía de esterilidad en productos farmacéuticos y dispositivos médicos (1.ª ed.). Business Horizons. ISBN 978-8190646741.
  53. ^ Manual de comunicación de riesgos: herramientas y técnicas. Centro de Salud Pública de la Armada y el Cuerpo de Marines
  54. ^ Entender la teoría de la comunicación de riesgos: una guía para comunicadores y gestores de emergencias. Informe para la División de Factores Humanos y Ciencias del Comportamiento, Dirección de Ciencia y Tecnología, Departamento de Seguridad Nacional de los Estados Unidos (mayo de 2012)
  55. ^ ab Rahman, Alfi; Munadi, Khairul (2019). "Comunicar el riesgo para mejorar la preparación ante desastres: un ejemplo pragmático de un enfoque de comunicación del riesgo de desastres a partir del caso de Smong Story". Serie de conferencias del IOP: Ciencias de la Tierra y del Medio Ambiente . 273 (1): 012040. Bibcode :2019E&ES..273a2040R. doi : 10.1088/1755-1315/273/1/012040 . S2CID  199164028.
  56. ^ Motarjemi, Y.; Ross, T (1 de enero de 2014), "Análisis de riesgos: comunicación de riesgos: peligros biológicos", en Motarjemi, Yasmine (ed.), Enciclopedia de seguridad alimentaria , Waltham: Academic Press, págs. 127-132, ISBN 978-0-12-378613-5, consultado el 12 de noviembre de 2021
  57. ^ "La comunicación de riesgos en el contexto del cambio climático". weADAPT | Planificación, investigación y práctica de la adaptación al cambio climático . 2011-03-25 . Consultado el 2021-11-12 .
  58. ^ "LA COMUNICACIÓN DE RIESGOS SALVA VIDAS Y MEDIOS DE VIDA Marco de preparación para una gripe pandémica" (PDF) . Organización Mundial de la Salud. 2015.
  59. ^ REYNOLDS, BARBARA; SEEGER, MATTHEW W. (23 de febrero de 2005). "La comunicación de riesgos en situaciones de crisis y emergencias como modelo integrador". Revista de comunicación sanitaria . 10 (1): 43–55. doi :10.1080/10810730590904571. ISSN  1081-0730. PMID  15764443. S2CID  16810613.
  60. ^ Kasza, Gyula; Csenki, Eszter; Szakos, David; Izsó, Tekla (1 de agosto de 2022). "La evolución de la comunicación de riesgos en seguridad alimentaria: Modelos y tendencias del pasado y del futuro". Control de Alimentos . 138 : 109025. doi : 10.1016/j.foodcont.2022.109025 . ISSN  0956-7135. S2CID  248223805.
  61. ^ Stevenson, Mabel; Taylor, Brian J. (3 de junio de 2018). "Comunicación de riesgos en la atención a la demencia: perspectivas familiares". Revista de investigación de riesgos . 21 (6): 692–709. doi :10.1080/13669877.2016.1235604. ISSN  1366-9877. S2CID  152134132.
  • Guía de gestión de riesgos, problemas y oportunidades del Departamento de Defensa para los programas de adquisiciones de defensa Archivado el 4 de julio de 2017 en Wayback Machine (2017)
  • Guía de gestión de riesgos del Departamento de Defensa para programas de adquisiciones de defensa (2014)
  • Medios relacionados con Gestión de riesgos en Wikimedia Commons
Retrieved from "https://en.wikipedia.org/w/index.php?title=Risk_management&oldid=1251596519"