Salir de la pildora

Gestión del riesgo

En esta píldora te presentaremos la práctica de Gestión del riesgo de ITIL 4

¡Esperamos que te sea de gran ayuda!

(Desliza para continuar)

Descripción de la práctica

El propósito de la práctica es asegurar que la organización entiende y maneja efectivamente el riesgo. La gestión del riesgo es esencial para asegurar la sostenibilidad continua de la organización y la co-creación de valor para sus clientes. La gestión del riesgo es una parte integral de todas las actividades de la organización y por lo tanto centrales para el Sistema de Valor de Servicio (SVS).

La gestión del riesgo se debe realizar en todos los niveles de la organización:

• Gestión del riesgo estratégico que considera los riesgos de largo plazo y que pueden impactar la habilidad de la organización de ejecutar su misión.

• Gestión de riesgos a programas y proyectos, considera los riesgos que pueden afecctar las metas y objetivos de mediano plazo.

• Gestión del riesgo operacional, se enfoca en las metas y objetvos de corto plazo.

Conceptos básicos

• Riesgo: un posible evento que puede causar daño, pérdida o hacer más difícil el logro de los objetivos. Puede ser definido también como la incertidumbre de las salidas y puede ser usado en el contexto de medir la probabilidad de resultados positivos o negativos.

• Capacidad de riesgo: es la cantidad máxima de riesgo que la organización puede tolerar, es definida por el gobierno.

• Apetito de riesgo: es definido por el gobierno de la organización y se usa para facilitar la toma de decisiones y las actividades de gestión de riesgo. Es la cantidad de riesgo que la organización está dispuesta a aceptar, siempre debe ser mejor que la capacidad de riesgo.

• Registro de riesgo: contiene la información de los riesgos identificados, cada registro muestra la historia y el estado del riesgo.

• Dueño del riesgo: puede no ser responsable de las acciones necesarias para gestionar el riesgo, pero debe asegurar de que las acciones son adecuadas y que realmente se toman. Se debe asignar el dueño del riesgo tan pronto como es identificado y debe quedar documentado en el registro del riesgo.

• Tratamiento del riesgo: luego de entender la probabilidad y el impacto del riesgo se deben definir caminos para tratar el riesgo (evitar, modificar, compartir o aceptar el riesgo ).

• Control: son los medios para gestionar un riesgo, asegurando que se logre el objetivo del negocio o que se siga un proceso.

• Riesgo residual: el tratamiento de riesgo, por lo general no elimina el riesgo completamente, por lo que se debe establecer luego de la implementación del control la nueva probabilidad e impacto, esto último es el riesgo residual.

Alcance

La práctica incluye:

• Gestión de proyectos: se debe analizar cada proyecto en términos de los objetivos, costos, riesgos, beneficios y progreso.

• Gestión de la seguridad de la información: entender y manejar los riesgos relacionados con la confidencialidad, integridad y disponibilidad de la información.

• Gestión del portafolio: identificar las oportunidades de crear o capturar valor para los clientes, la organización u otras partes interesadas, así como identificar posibles fallas que puedan presentar los productos o servicios.

• Gestión de problemas: la causa potencial de un incidente es un riesgo por lo que la reducción de su impacto y probabilidad son actividades necesarias para gestionar el riesgo.

• Gestión de incidentes: las acciones tomadas para diagnosticar y resolver incidentes pueden generar riesgos tanto para el proveedor como el consumidor, por lo que es importante gestionar los riesgos involucrados.

• Gestión de la continuidad del servicio: es un control que suele considerar un amplio rango de riesgos que podrían impactar la disponibilidad o desempeño de los servicios.

• Mejora continua: prioriza y gestiona las oportunidades de mejora que son consideradas como riesgos positivos.

• Gestión del nivel de servicio: dado que se debe asegurar que se cumple con los niveles de servicio es necesario identificar y gestionar los riesgos que podrían impactar los ANS.

Factores de éxito de la práctica

Establecimiento de la gobernanza de la gestión de riesgos

Las actividades de gestión del riesgo necesitan conocer la calidad y el apetito de riesgo de la organización, lo que implica que el gobierno de la organización los debe definir junto con las políticas y estrategias para que sean conocidos por todas las partes interesadas y facilitar la toma de decisiones.

Fomentar una cultura de la gestión de riegos y la identicación de riesgos

La actividad de gestión más importante es fomentar una cultura de gestión del riesgo, todos en la organización, deben tener la responsabilidad de identificar y reportar cualquier riesgo que es descubierto.

Analizar y evaluar los riesgos

En análisis involucra el entendimiento de la probabilidad y el impacto potencial de cada riesgo. El resultado de este análisis determina el nivel de riego que será documentado en el registro de riesgos y es utilizado para decidir los tratamientos requeridos.

Tratar, monitorear y revisar los riesgos

Cada riesgo debe ser tratado de la misma manera, incluso si la decisión es asumir el riesgo, esta decisión debe ser documentada, comunicada y revisada constantemente para asegurar que los cambios en la probabilidad, el impacto o los costo de los controles son adecuados. Si la decisión es tomar alguna medida, los controles deben ser diseñados e implementados.

Métricas clave

Algunas métricas son:

• Tiempo desde la última vez que la capacidad y apetito de riesgo fueron revisados y actualizados.

• Porcentaje de riesgo estratégico que esta debidamente docuementado (probabilidad, impacto, dueño, plan de tratamiento y fechas de acciones futuras).

• Porcentaje de empleados que dijeron sentirse libres de identificar riesgos y errores en encuestas anónimas.

Algunas métricas son:

• Número de riesgos identificados por personas que no trabajan en roles específicos de gestión del riesgo.

• Porcentaje de riegos en el registro de riesgos que tienen documentados la probabilidad, impacto y dueño.

• Porcentaje de riesgos en el registro de riesgo que tienen documentados el plan de acción y las fechas de acciones siguientes.

Algunas métricas son:

• Porcentaje de riesgos en el registro de riesgos que han sido revisados en los últimos seis meses.

• Porcentaje de controles que han sido sujetos de una revisión y auditoría en los últimos seis meses.

Aporte a la Cadena de Valor del Servicio (SVC)

La gestión del riesgo contribuye a múltiples flujos de valor, de hecho la práctica se combina con otras prácticas para proveer servicios de alta calidad a los clientes. Las actividades de la Cadena de Valor del Servicio a las que contribuye la práctica son:

Plan, Mejora, Compromiso, Diseño y transición, Obtener y construir, Entrega y soporte

Procesos

Gobernanza de la gestión del riesgo

Este proceso incluye actividades como: el análisis del entorno, documentación de la capacidad y el apetito de riesgo, proveer de dirección a la gestión y monitorear la organización.

Identificación, análisis y tratamiento del riesgo

El proceso incluye las actividades de:

• identificación: delimitar el alcance, donde se genera, dueño, etc.

• Análisis y evaluación: se define la probabilidad y el impacto potencial mediante métodos cualitativos o cuantitativos.

• Tratamiento de riesgo: el riesgo puede ser aceptado o controlado.

Monitoreo y revisión del riesgo

Incluye actividades como la evaluación del control y revisiones o auditorias del riesgo residual, esto con el objetivo de asegurar que los controles han sido implementados correctamete y que se ajustan al propósito con el que fueron diseñados, además permite identificar actualizaciones para los controles existentes.

Roles, compentencias y responsabilidades

No se define un rol en particular, sino que se sugieren actividades que podrían asignarse a diferentes roles, se podría crear un comité de gestión del riesgo encargado de la documentación y el monitoreo de los riesgos

Dueños de procesos y de productos pueden ser los responsables de la identificación, análisis, evaluación y tratamiento de los riesgos.

Intercambio de información

La información utilizada por la práctica, incluye pero no se limita a:

• Factores PESTLE, estrategia de la organización, regulaciones.

• Registro de riesgos, presupuesto para la gestión de riesgos, capacidad y apetito

Con esto terminamos de abordar algunos de los aspectos más relevantes de la práctica Gestión del riesgo.

¡Esperamos que te sean de gran utilidad!

Te invitamos a que revises las píldoras sobre las demás prácticas