Gestión de riesgos

Identificación, evaluación y control de riesgos

Ejemplo de evaluación de riesgos: un modelo de la NASA que muestra áreas con alto riesgo de impacto para la Estación Espacial Internacional

La gestión de riesgos es la identificación, evaluación y priorización de riesgos (definidos en ISO 31000 como el efecto de la incertidumbre sobre los objetivos ) seguida de la aplicación coordinada y económica de recursos para minimizar, monitorear y controlar la probabilidad o el impacto de eventos desafortunados ^[1]. o para maximizar la realización de oportunidades.

Los riesgos pueden provenir de diversas fuentes, incluida la incertidumbre en los mercados internacionales , la inestabilidad política , las amenazas de fracasos de los proyectos (en cualquier fase del diseño, desarrollo, producción o mantenimiento de los ciclos de vida), responsabilidades legales, riesgo crediticio, accidentes, causas naturales y desastres. , ataque deliberado de un adversario, o eventos de causa raíz incierta o impredecible .

Hay dos tipos de eventos, es decir, los eventos negativos se pueden clasificar como riesgos, mientras que los eventos positivos se clasifican como oportunidades. Varias instituciones han desarrollado estándares de gestión de riesgos , incluido el Project Management Institute , el Instituto Nacional de Estándares y Tecnología , sociedades actuariales y estándares ISO (estándares de gestión de calidad para ayudar a trabajar de manera más eficiente y reducir las fallas de los productos). ^{[2] [3] [4]} Los métodos, definiciones y objetivos varían ampliamente según si el método de gestión de riesgos se encuentra en el contexto de la gestión de proyectos, seguridad, ingeniería , procesos industriales , carteras financieras, evaluaciones actuariales o salud y seguridad públicas. Ciertos estándares de gestión de riesgos han sido criticados por no ofrecer mejoras mensurables en el riesgo, mientras que la confianza en las estimaciones y decisiones parece aumentar. ^[1]

Las estrategias para gestionar las amenazas (incertidumbres con consecuencias negativas) normalmente incluyen evitar la amenaza, reducir el efecto negativo o la probabilidad de la amenaza, transferir toda o parte de la amenaza a otra parte e incluso retener algunas o todas las consecuencias potenciales o reales de la amenaza. una amenaza concreta. Lo contrario de estas estrategias se puede utilizar para responder a oportunidades (estados futuros inciertos con beneficios).

Como función profesional , un administrador de riesgos ^[5] "supervisará el programa integral de gestión de riesgos y seguros de la organización, evaluando e identificando los riesgos que podrían impedir la reputación, la seguridad o el éxito financiero de la organización", y luego desarrollará planes para minimizar y/o mitigar cualquier resultado (financiero) negativo. Los analistas de riesgos ^[6] apoyan el aspecto técnico del enfoque de gestión de riesgos de la organización: una vez que los datos de riesgo han sido compilados y evaluados, los analistas comparten sus hallazgos con sus gerentes, quienes utilizan esos conocimientos para decidir entre posibles soluciones. Véase también Director de riesgos , auditoría interna y Gestión de riesgos financieros § Finanzas corporativas .

Introducción

La gestión de riesgos aparece en la literatura científica y de gestión desde la década de 1920. Se convirtió en una ciencia formal en la década de 1950, cuando también aparecen en las búsquedas en bibliotecas artículos y libros con "gestión de riesgos" en el título. ^[7] La ​​mayor parte de la investigación estuvo inicialmente relacionada con las finanzas y los seguros.

Un vocabulario ampliamente utilizado para la gestión de riesgos se define en la Guía ISO 73:2009 , "Gestión de riesgos. Vocabulario". ^[2]

En la gestión de riesgos ideal, se sigue un proceso de priorización mediante el cual los riesgos con mayor pérdida (o impacto) y mayor probabilidad de ocurrir se manejan primero. Los riesgos con menor probabilidad de ocurrencia y menor pérdida se manejan en orden descendente. En la práctica, el proceso de evaluación del riesgo general puede ser difícil, y equilibrar los recursos utilizados para mitigar entre riesgos con una alta probabilidad de ocurrencia pero menor pérdida, versus un riesgo con alta pérdida pero menor probabilidad de ocurrencia a menudo puede ser mal manejado.

La gestión de riesgos intangibles identifica un nuevo tipo de riesgo que tiene una probabilidad del 100% de ocurrir pero que la organización ignora debido a una falta de capacidad de identificación. Por ejemplo, cuando se aplica un conocimiento deficiente a una situación, se materializa un riesgo de conocimiento . El riesgo en las relaciones aparece cuando se produce una colaboración ineficaz. El riesgo de participación en el proceso puede ser un problema cuando se aplican procedimientos operativos ineficaces. Estos riesgos reducen directamente la productividad de los trabajadores del conocimiento, disminuyen la rentabilidad, la rentabilidad, el servicio, la calidad, la reputación, el valor de la marca y la calidad de las ganancias. La gestión de riesgos intangibles permite que la gestión de riesgos cree valor inmediato a partir de la identificación y reducción de riesgos que reducen la productividad.

El costo de oportunidad representa un desafío único para los gestores de riesgos. Puede resultar difícil determinar cuándo destinar recursos a la gestión de riesgos y cuándo utilizar esos recursos en otros lugares. Una vez más, la gestión de riesgos ideal minimiza el gasto (o la mano de obra u otros recursos) y también minimiza los efectos negativos de los riesgos.

El riesgo se define como la posibilidad de que ocurra un evento que afecte negativamente el logro de un objetivo. Por lo tanto, la incertidumbre es un aspecto clave del riesgo. Sistemas como el Comité de Organizaciones Patrocinadoras de la Comisión Treadway de Gestión de Riesgos Empresariales (COSO ERM) pueden ayudar a los gerentes a mitigar los factores de riesgo. Cada empresa puede tener diferentes componentes de control interno, lo que conduce a diferentes resultados. Por ejemplo, el marco para los componentes de ERM incluye entorno interno, establecimiento de objetivos, identificación de eventos, evaluación de riesgos, respuesta a riesgos, actividades de control, información y comunicación, y seguimiento.

Riesgos versus oportunidades

Las oportunidades aparecen por primera vez en los libros de investigación académica o de gestión en los años noventa. El primer borrador del Cuerpo de conocimientos sobre gestión de proyectos del PMBoK de 1987 no menciona oportunidades en absoluto.

La escuela moderna de gestión de proyectos reconoce la importancia de las oportunidades. Las oportunidades se han incluido en la literatura sobre gestión de proyectos desde la década de 1990, por ejemplo en PMBoK, y se convirtieron en una parte importante de la gestión de riesgos de proyectos en los años 2000, ^[8] cuando los artículos titulados "gestión de oportunidades" también comenzaron a aparecer en las búsquedas en bibliotecas. Así, la gestión de oportunidades se convirtió en una parte importante de la gestión de riesgos.

La teoría moderna de la gestión de riesgos se ocupa de cualquier tipo de eventos externos, positivos y negativos. Los riesgos positivos se llaman oportunidades . De manera similar a los riesgos, las oportunidades tienen estrategias de mitigación específicas: explotar, compartir, mejorar, ignorar.

En la práctica, los riesgos se consideran "normalmente negativos". La investigación y la práctica relacionadas con los riesgos se centran mucho más en las amenazas que en las oportunidades. Esto puede provocar fenómenos negativos como la fijación del objetivo ^[9]

Método

En su mayor parte, estos métodos constan de los siguientes elementos, realizados, más o menos, en el siguiente orden:

1. Identificar las amenazas
2. Evaluar la vulnerabilidad de activos críticos a amenazas específicas
3. Determinar el riesgo (es decir, la probabilidad esperada y las consecuencias de tipos específicos de ataques a activos específicos)
4. Identificar formas de reducir esos riesgos.
5. Priorizar las medidas de reducción de riesgos

El área de conocimiento de gestión de riesgos, según lo definido por el Cuerpo de conocimientos de gestión de proyectos PMBoK, consta de los siguientes procesos:

1. Planificar la gestión de riesgos : definir cómo llevar a cabo las actividades de gestión de riesgos.
2. Identificar riesgos : identificar los riesgos individuales del proyecto, así como sus fuentes.
3. Realice un análisis de riesgos cualitativo : priorice los riesgos de proyectos individuales mediante la evaluación de la probabilidad y el impacto.
4. Realizar Análisis Cuantitativo de Riesgos – análisis numérico de los efectos.
5. Planificar respuestas a los riesgos : desarrollar opciones, seleccionar estrategias y acciones.
6. Implementar respuestas a los riesgos : implementar planes de respuesta a los riesgos acordados. En la 4ª Ed. de PMBoK, este proceso se incluyó como una actividad en el proceso de Monitoreo y Control, pero luego se separó como un proceso distinto en PMBoK 6th Ed. ^[10]
7. Monitorear Riesgos – monitorear la implementación. Este proceso se conocía como Monitoreo y Control en la anterior PMBoK 4ª Ed., cuando también incluía el proceso " Implementar Respuestas a Riesgos ".

Principios

La Organización Internacional de Normalización (ISO) identifica los siguientes principios de gestión de riesgos: ^[11]

La gestión de riesgos debería:

• Crear valor : los recursos gastados para mitigar el riesgo deben ser menores que la consecuencia de la inacción.
• Ser parte integral de los procesos organizacionales.
• Sea parte del proceso de toma de decisiones
• Abordar explícitamente la incertidumbre y las suposiciones
• Ser un proceso sistemático y estructurado.
• Estar basado en la mejor información disponible.
• Ser adaptable
• Tener en cuenta los factores humanos
• Sea transparente e inclusivo
• Sea dinámico, iterativo y receptivo al cambio.
• Ser capaz de mejorar y perfeccionar continuamente.
• Ser reevaluado continua o periódicamente.

Riesgo leve versus riesgo salvaje

Benoit Mandelbrot distinguió entre riesgo "leve" y "salvaje" y argumentó que la evaluación y gestión del riesgo deben ser fundamentalmente diferentes para los dos tipos de riesgo. ^[12] El riesgo leve sigue distribuciones de probabilidad normales o casi normales , está sujeto a regresión a la media y a la ley de los grandes números y, por lo tanto, es relativamente predecible. El riesgo salvaje sigue distribuciones de cola gruesa , por ejemplo, distribuciones de Pareto o de ley de potencias , está sujeto a regresión a la cola (media o varianza infinita, lo que hace que la ley de grandes números sea inválida o ineficaz) y, por lo tanto, es difícil o imposible de predecir. Un error común en la evaluación y gestión de riesgos es subestimar la magnitud del riesgo, asumiendo que el riesgo es leve cuando en realidad es salvaje, lo que debe evitarse si la evaluación y gestión de riesgos quieren ser válidas y confiables, según Mandelbrot.

Proceso

Según la norma ISO 31000 – "Gestión de riesgos - Principios y directrices para su implementación", ^[3] el proceso de gestión de riesgos consta de varios pasos, de la siguiente manera:

Estableciendo el contexto

Esto involucra:

1. observando el contexto
   • El alcance social de la gestión de riesgos.
   • la identidad y los objetivos de las partes interesadas
   • la base sobre la cual se evaluarán los riesgos, las limitaciones.
2. definir un marco para la actividad y una agenda para la identificación
3. desarrollar un análisis de los riesgos involucrados en el proceso
4. mitigación o solución de riesgos utilizando los recursos tecnológicos, humanos y organizacionales disponibles

Identificación

Después de establecer el contexto, el siguiente paso en el proceso de gestión del riesgo es identificar los riesgos potenciales. Los riesgos se refieren a eventos que, cuando se desencadenan, causan problemas o beneficios. Por tanto, la identificación del riesgo puede comenzar con el origen de los problemas y los de los competidores (beneficio), o con las consecuencias del problema.

• Análisis de fuentes ^[13] – Las fuentes de riesgo pueden ser internas o externas al sistema que es el objetivo de la gestión de riesgos (use la mitigación en lugar de la gestión, ya que, por su propia definición, el riesgo trata con factores de toma de decisiones que no se pueden gestionar).

Algunos ejemplos de fuentes de riesgo son: las partes interesadas de un proyecto, los empleados de una empresa o el clima sobre un aeropuerto.

• Análisis de problemas ^{[ cita necesaria ]} - Los riesgos están relacionados con las amenazas identificadas. Por ejemplo: la amenaza de perder dinero, la amenaza de abuso de información confidencial o la amenaza de errores humanos, accidentes y víctimas. Las amenazas pueden existir con varias entidades, las más importantes con accionistas, clientes y órganos legislativos como el gobierno.

Cuando se conoce la fuente o el problema, se pueden investigar los eventos que una fuente puede desencadenar o los eventos que pueden conducir a un problema. Por ejemplo: las partes interesadas que se retiran durante un proyecto pueden poner en peligro la financiación del proyecto; los empleados pueden robar información confidencial incluso dentro de una red cerrada; Un rayo que caiga sobre un avión durante el despegue puede provocar que todas las personas a bordo sufran víctimas inmediatas.

El método elegido para identificar riesgos puede depender de la cultura, la práctica de la industria y el cumplimiento. Los métodos de identificación están formados por plantillas o el desarrollo de plantillas para identificar fuente, problema o evento. Los métodos comunes de identificación de riesgos son:

• Identificación de riesgos basada en objetivos ^{[ cita necesaria ]} - Las organizaciones y los equipos de proyectos tienen objetivos. Se identifica como riesgo cualquier evento que pueda impedir la consecución de un objetivo.
• Identificación de riesgos basada en escenarios: en el análisis de escenarios se crean diferentes escenarios. Los escenarios pueden ser formas alternativas de lograr un objetivo, o un análisis de la interacción de fuerzas en, por ejemplo, un mercado o una batalla. Cualquier evento que desencadene un escenario alternativo no deseado se identifica como riesgo; consulte Estudios de futuros para conocer la metodología utilizada por los futuristas .
• Identificación de riesgos basada en taxonomía: la taxonomía en la identificación de riesgos basada en taxonomía es un desglose de las posibles fuentes de riesgo. A partir de la taxonomía y el conocimiento de las mejores prácticas se elabora un cuestionario. Las respuestas a las preguntas revelan riesgos. ^[14]
• Comprobación de riesgos comunes ^[15] : en varias industrias, se encuentran disponibles listas con riesgos conocidos. Se puede comprobar que cada riesgo de la lista se aplica a una situación particular. ^[dieciséis]
• Gráficos de riesgos ^[17] : este método combina los enfoques anteriores enumerando los recursos en riesgo, las amenazas a esos recursos, modificando los factores que pueden aumentar o disminuir el riesgo y las consecuencias que se desea evitar. La creación de una matriz bajo estos títulos permite una variedad de enfoques. Se puede comenzar con los recursos y considerar las amenazas a las que están expuestos y las consecuencias de cada una. Alternativamente, se puede comenzar con las amenazas y examinar qué recursos afectarían, o se puede comenzar con las consecuencias y determinar qué combinación de amenazas y recursos estaría involucrada para provocarlas.

Evaluación

Una vez que se han identificado los riesgos, se deben evaluar la gravedad potencial de su impacto (generalmente un impacto negativo, como daños o pérdidas) y la probabilidad de que ocurran. Estas cantidades pueden ser simples de medir, en el caso del valor de un edificio perdido, o imposibles de saber con certeza en el caso de un evento improbable, cuya probabilidad de ocurrencia se desconoce. Por lo tanto, en el proceso de evaluación es fundamental tomar las decisiones mejor informadas para priorizar adecuadamente la implementación del plan de gestión de riesgos .

Incluso una mejora positiva a corto plazo puede tener impactos negativos a largo plazo. Tomemos el ejemplo de la "autopista de peaje". Se amplía una carretera para permitir más tráfico. Una mayor capacidad de tráfico conduce a un mayor desarrollo en las áreas que rodean la capacidad de tráfico mejorada. Con el tiempo, el tráfico aumenta para llenar la capacidad disponible. Por lo tanto, las autopistas de peaje deben ampliarse en ciclos aparentemente interminables. Hay muchos otros ejemplos de ingeniería en los que la capacidad ampliada (para realizar cualquier función) pronto se ve cubierta por una mayor demanda. Dado que la expansión tiene un costo, el crecimiento resultante podría volverse insostenible sin previsión y gestión.

La dificultad fundamental en la evaluación de riesgos es determinar la tasa de ocurrencia, ya que no se dispone de información estadística sobre todos los tipos de incidentes pasados ​​y es particularmente escasa en el caso de eventos catastróficos, simplemente por su poca frecuencia. Además, evaluar la gravedad de las consecuencias (impacto) suele resultar bastante difícil en el caso de los activos intangibles. La valoración de los activos es otra cuestión que es necesario abordar. Por lo tanto, las opiniones mejor fundamentadas y las estadísticas disponibles son las principales fuentes de información. Sin embargo, la evaluación de riesgos debe producir información para los altos ejecutivos de la organización que los riesgos principales sean fáciles de entender y que las decisiones de gestión de riesgos puedan priorizarse dentro de los objetivos generales de la empresa. Así, ha habido varias teorías e intentos de cuantificar los riesgos. Existen numerosas fórmulas de riesgo diferentes, pero quizás la fórmula más ampliamente aceptada para la cuantificación del riesgo sea: "La tasa (o probabilidad) de ocurrencia multiplicada por el impacto del evento es igual a la magnitud del riesgo". ^{[ impreciso ]}

Opciones de riesgo

Las medidas de mitigación de riesgos generalmente se formulan de acuerdo con una o más de las siguientes opciones principales de riesgo, que son:

1. Diseñe un nuevo proceso de negocio con medidas de contención y control de riesgos integradas adecuadas desde el principio.
2. Reevaluar periódicamente los riesgos que se aceptan en los procesos en curso como una característica normal de las operaciones comerciales y modificar las medidas de mitigación.
3. Transferir riesgos a una agencia externa (por ejemplo, una compañía de seguros)
4. Evitar riesgos por completo (por ejemplo, cerrando un área comercial particular de alto riesgo)

Investigaciones posteriores ^[18] han demostrado que los beneficios financieros de la gestión de riesgos dependen menos de la fórmula utilizada, pero más de la frecuencia y la forma en que se realiza la evaluación de riesgos.

En los negocios es imperativo poder presentar los resultados de las evaluaciones de riesgos en términos financieros, de mercado o de cronograma. Robert Courtney Jr. (IBM, 1970) propuso una fórmula para presentar los riesgos en términos financieros. La fórmula de Courtney fue aceptada como método oficial de análisis de riesgos por las agencias gubernamentales de Estados Unidos. La fórmula propone el cálculo de ALE (expectativa de pérdida anualizada) y compara el valor de pérdida esperada con los costos de implementación del control de seguridad ( análisis de costo-beneficio ).

Tratamientos de riesgo potencial

Una vez que se han identificado y evaluado los riesgos, todas las técnicas para gestionar el riesgo se clasifican en una o más de estas cuatro categorías principales: ^[19]

• Evitación (eliminar, retirarse o no involucrarse)
• Reducción (optimizar – mitigar)
• Compartir (transferir – subcontratar o asegurar)
• Retención (aceptar y presupuestar)

Es posible que no sea posible el uso ideal de estas estrategias de control de riesgos . Algunos de ellos pueden implicar compensaciones que no son aceptables para la organización o la persona que toma las decisiones de gestión de riesgos. Otra fuente, del Departamento de Defensa de EE. UU. (ver enlace), Defense Acquisition University , llama a estas categorías ACAT, por Evitar, Controlar, Aceptar o Transferir. Este uso del acrónimo ACAT recuerda a otro ACAT (categoría de adquisición) utilizado en las adquisiciones de la industria de defensa de EE. UU., en el que la gestión de riesgos ocupa un lugar destacado en la toma de decisiones y la planificación.

De manera similar a los riesgos, las oportunidades tienen estrategias de mitigación específicas: explotar, compartir, mejorar, ignorar.

Evitación de riesgo

Esto incluye no realizar una actividad que pueda presentar riesgo. Negarse a comprar una propiedad o negocio para evitar responsabilidad legal es un ejemplo de ello. Evitar vuelos en avión por miedo a ser secuestrados . Evitar puede parecer la respuesta a todos los riesgos, pero evitarlos también significa perder la ganancia potencial que podría haber permitido aceptar (retener) el riesgo. No entrar en un negocio para evitar el riesgo de pérdida también evita la posibilidad de obtener ganancias. La creciente regulación del riesgo en los hospitales ha llevado a evitar el tratamiento de condiciones de mayor riesgo, en favor de los pacientes que presentan un riesgo menor. ^[20]

La reducción de riesgos

La reducción u "optimización" del riesgo implica reducir la gravedad de la pérdida o la probabilidad de que ocurra. Por ejemplo, los rociadores están diseñados para apagar un incendio y reducir el riesgo de pérdidas por incendio. Este método puede provocar una mayor pérdida por daños causados ​​por el agua y, por lo tanto, puede no ser adecuado. Los sistemas de extinción de incendios con halones pueden mitigar ese riesgo, pero el costo puede ser prohibitivo como estrategia .

Reconociendo que los riesgos pueden ser positivos o negativos, optimizarlos significa encontrar un equilibrio entre el riesgo negativo y el beneficio de la operación o actividad; y entre la reducción del riesgo y el esfuerzo aplicado. Al aplicar eficazmente los estándares de gestión de Salud, Seguridad y Medio Ambiente (HSE), las organizaciones pueden alcanzar niveles tolerables de riesgo residual . ^[21]

Las metodologías modernas de desarrollo de software reducen el riesgo al desarrollar y entregar software de forma incremental. Las primeras metodologías sufrían por el hecho de que sólo entregaban software en la fase final de desarrollo; cualquier problema encontrado en fases anteriores significaba reelaboraciones costosas y, a menudo, ponía en peligro todo el proyecto. Al desarrollarse en iteraciones, los proyectos de software pueden limitar el esfuerzo desperdiciado a una sola iteración.

La subcontratación podría ser un ejemplo de estrategia de riesgo compartido si el subcontratista puede demostrar una mayor capacidad para gestionar o reducir los riesgos. ^[22] Por ejemplo, una empresa puede subcontratar a otra empresa únicamente el desarrollo de software, la fabricación de productos duros o las necesidades de atención al cliente, mientras se encarga ella misma de la gestión empresarial. De esta forma, la empresa puede concentrarse más en el desarrollo del negocio sin tener que preocuparse tanto por el proceso de fabricación, la gestión del equipo de desarrollo o la búsqueda de una ubicación física para un centro. Además, implantar controles también puede ser una opción para reducir el riesgo. Controles que detectan causas de eventos no deseados antes de las consecuencias que ocurren durante el uso del producto, o la detección de las causas fundamentales de fallas no deseadas que luego el equipo puede evitar. Los controles pueden centrarse en los procesos de gestión o de toma de decisiones. Todo esto puede ayudar a tomar mejores decisiones en materia de riesgo. ^[23]

Riesgo compartido

Definido brevemente como "compartir con otra parte la carga de la pérdida o el beneficio de la ganancia, de un riesgo, y las medidas para reducir un riesgo".

El término "transferencia de riesgo" se utiliza a menudo en lugar de riesgo compartido debido a la creencia errónea de que se puede transferir un riesgo a un tercero mediante seguros o subcontratación. En la práctica, si la compañía de seguros o el contratista quiebran o terminan en los tribunales, es probable que el riesgo original revierta a la primera parte. Como tal, en la terminología tanto de profesionales como de académicos, la adquisición de un contrato de seguro a menudo se describe como una "transferencia de riesgo". Sin embargo, técnicamente hablando, el comprador del contrato generalmente conserva la responsabilidad legal por las pérdidas "transferidas", lo que significa que el seguro puede describirse más exactamente como un mecanismo compensatorio posterior al evento. Por ejemplo, una póliza de seguro de lesiones personales no transfiere el riesgo de un accidente automovilístico a la compañía de seguros. El riesgo sigue recayendo en el asegurado, es decir, en la persona que ha sufrido el accidente. La póliza de seguro simplemente establece que si ocurre un accidente (el evento) que involucra al titular de la póliza, entonces se le puede pagar una compensación proporcional al sufrimiento/daño.

Los métodos de gestión de riesgos se dividen en múltiples categorías. Los pools de retención de riesgos técnicamente retienen el riesgo para el grupo, pero distribuirlo entre todo el grupo implica transferencia entre miembros individuales del grupo. Esto se diferencia del seguro tradicional en que no se intercambia ninguna prima por adelantado entre los miembros del grupo, sino que las pérdidas se evalúan entre todos los miembros del grupo.

Retención de riesgo

La retención de riesgos implica aceptar la pérdida o el beneficio o ganancia de un riesgo cuando ocurre el incidente. El verdadero autoseguro entra en esta categoría. La retención del riesgo es una estrategia viable para riesgos pequeños donde el costo de asegurar contra el riesgo sería mayor con el tiempo que las pérdidas totales sufridas. Todos los riesgos que no se evitan o transfieren se retienen por defecto. Esto incluye riesgos que son tan grandes o catastróficos que no pueden ser asegurados o las primas serían inviables. La guerra es un ejemplo, ya que la mayoría de los bienes y riesgos no están asegurados contra la guerra, por lo que la pérdida atribuida a la guerra la retiene el asegurado. Además, cualquier monto de pérdida potencial (riesgo) que supere el monto asegurado se considera riesgo retenido. Esto también puede ser aceptable si la posibilidad de una pérdida muy grande es pequeña o si el costo de asegurar montos de cobertura mayores es tan grande que obstaculizaría demasiado los objetivos de la organización.

Plan de gestión de Riesgos

Seleccionar controles o contramedidas apropiadas para mitigar cada riesgo. La mitigación de riesgos debe ser aprobada por el nivel apropiado de gestión. Por ejemplo, un riesgo relacionado con la imagen de la organización debería tener detrás una decisión de la alta dirección, mientras que la dirección de TI tendría la autoridad para decidir sobre los riesgos de virus informáticos.

El plan de gestión de riesgos debe proponer controles de seguridad aplicables y eficaces para gestionar los riesgos. Por ejemplo, un alto riesgo observado de virus informáticos podría mitigarse mediante la adquisición e implementación de software antivirus. Un buen plan de gestión de riesgos debe contener un cronograma para la implementación del control y personas responsables de esas acciones. Hay cuatro pasos básicos del plan de gestión de riesgos, que son la evaluación de amenazas, la evaluación de vulnerabilidad, la evaluación de impacto y el desarrollo de estrategias de mitigación de riesgos. ^[24]

Según ISO/IEC 27001 , la etapa inmediatamente posterior a la finalización de la fase de evaluación de riesgos consiste en preparar un Plan de Tratamiento de Riesgos, que debe documentar las decisiones sobre cómo se debe manejar cada uno de los riesgos identificados. La mitigación de riesgos a menudo significa la selección de controles de seguridad , que deben documentarse en una Declaración de Aplicabilidad, que identifica qué objetivos de control y controles particulares de la norma se han seleccionado y por qué.

Implementación

La implementación sigue todos los métodos planificados para mitigar el efecto de los riesgos. Contratar pólizas de seguro para los riesgos que se ha decidido transferir a una aseguradora, evitar todos los riesgos que puedan evitarse sin sacrificar los objetivos de la entidad, reducir otros y retener el resto.

Revisión y evaluación del plan.

Los planes iniciales de gestión de riesgos nunca serán perfectos. La práctica, la experiencia y los resultados reales de las pérdidas requerirán cambios en el plan y contribuirán con información que permita tomar posibles decisiones diferentes al abordar los riesgos que se enfrentan.

Los resultados del análisis de riesgos y los planes de gestión deben actualizarse periódicamente. Hay dos razones principales para esto:

1. Evaluar si los controles de seguridad previamente seleccionados siguen siendo aplicables y eficaces.
2. evaluar los posibles cambios en el nivel de riesgo en el entorno empresarial. Por ejemplo, los riesgos de la información son un buen ejemplo de un entorno empresarial que cambia rápidamente.

Áreas

Empresa

La gestión de riesgos empresariales (ERM) define el riesgo como aquellos posibles eventos o circunstancias que pueden tener influencias negativas en la empresa en cuestión, donde el impacto puede ser en la existencia misma, los recursos (humanos y de capital), los productos y servicios, o la clientes de la empresa, así como los impactos externos en la sociedad, los mercados o el medio ambiente. Hay varios marcos definidos aquí, donde cada riesgo probable puede tener un plan preformulado para hacer frente a sus posibles consecuencias (para garantizar la contingencia si el riesgo se convierte en un pasivo ). De este modo, los gerentes analizan y monitorean el entorno interno y externo que enfrenta la empresa, abordando el riesgo comercial en general y cualquier impacto en el logro de las metas estratégicas de la empresa . Por lo tanto, la ERM se superpone a varias otras disciplinas ( gestión del riesgo operativo , gestión del riesgo financiero, etc.), pero se diferencia por su enfoque estratégico y de largo plazo. ^[25]

Finanzas

Aplicada a las finanzas , la gestión de riesgos se refiere a las técnicas y prácticas para medir, monitorear y controlar el riesgo de mercado , el riesgo de crédito y el riesgo operativo en el balance de una empresa , en la cartera de negociación de un banco o en el valor de la cartera de un administrador de fondos ; para obtener una descripción general, consulte Finanzas § Gestión de riesgos .

• Una medida tradicional en la banca es el valor en riesgo (VaR): la posible pérdida debido a eventos adversos de crédito y mercado. Los bancos buscan cubrir estos riesgos y mantendrán capital de riesgo sobre la posición neta. El marco de Basilea III regula los requisitos paralelos de capital regulatorio , incluido el riesgo operativo.
• Los administradores de fondos emplean varias estrategias para proteger el valor de sus fondos; estos teniendo en cuenta su mandato y punto de referencia .
• Las empresas no financieras se centran en el riesgo empresarial de manera más general, superponiendo la gestión del riesgo empresarial : es decir, aquellos eventos y sucesos que podrían impactar negativamente el flujo de efectivo o la rentabilidad y, por lo tanto, resultar en una pérdida de valor comercial o una caída en el precio de las acciones .

Tecnologías de la información

En tecnologías de la información , la gestión de riesgos incluye el "Manejo de Incidentes", un plan de acción para hacer frente a intrusiones, robos cibernéticos, denegaciones de servicio, incendios, inundaciones y otros eventos relacionados con la seguridad. Según el Instituto SANS , es un proceso de seis pasos: Preparación, Identificación, Contención, Erradicación, Recuperación y Lecciones Aprendidas. ^[26]

Gestión de riesgos contractuales

El concepto de "gestión de riesgos contractuales" enfatiza el uso de técnicas de gestión de riesgos en la implementación del contrato, es decir, la gestión de los riesgos que se aceptan mediante la celebración de un contrato. El académico noruego Petri Keskitalo define la "gestión de riesgos contractuales" como "un método de contratación práctico, proactivo y sistemático que utiliza la planificación y la gobernanza de los contratos para gestionar los riesgos relacionados con las actividades comerciales". ^[27] En un artículo de Samuel Greengard publicado en 2010, se mencionan dos casos legales estadounidenses que enfatizan la importancia de tener una estrategia para enfrentar el riesgo: ^[28]

• UDC contra CH2M Hill , que trata del riesgo de un asesor profesional que firma una disposición de indemnización que incluye la aceptación de un deber de defensa , quien de ese modo puede hacerse cargo de los costos legales de defender a un cliente sujeto a un reclamo de un tercero, ^{[ 29]}
• Witt contra La Gorce Country Club, que trata sobre la efectividad de una cláusula de limitación de responsabilidad , que puede, en ciertas jurisdicciones, resultar ineficaz. ^[30]

Greengard recomienda utilizar un lenguaje contractual estándar de la industria tanto como sea posible para reducir el riesgo tanto como sea posible y confiar en cláusulas que han estado en uso y sujetas a interpretación judicial establecida durante varios años. ^[28]

Aduanas

La gestión de riesgos aduaneros se ocupa de los riesgos que surgen en el contexto del comercio internacional y que influyen en la seguridad, incluido el riesgo de que las drogas ilícitas y las mercancías falsificadas puedan cruzar las fronteras y el riesgo de que los envíos y su contenido se declaren incorrectamente. ^[31] La Unión Europea ha adoptado un Marco de Gestión de Riesgos Aduaneros (CRMF) aplicable en toda la unión y en todos sus estados miembros , cuyos objetivos incluyen establecer un nivel común de protección del control aduanero y un equilibrio entre los objetivos de control aduanero seguro y la facilitación. del comercio legítimo. ^[32] Dos acontecimientos que llevaron a la Comisión Europea a revisar la política de gestión de riesgos aduaneros en 2012-2013 fueron los ataques del 11 de septiembre de 2001 y el complot de bomba aérea transatlántica de 2010 que involucraba paquetes enviados desde Yemen a los Estados Unidos , a los que se refirió la Comisión. como "el incidente de octubre de 2010 (Yemen)". ^[33]

Instituciones de la memoria (museos, bibliotecas y archivos)

Seguridad empresarial

ESRM es un enfoque de gestión de programas de seguridad que vincula las actividades de seguridad con la misión y los objetivos comerciales de una empresa a través de métodos de gestión de riesgos. El papel del líder de seguridad en ESRM es gestionar los riesgos de daño a los activos empresariales en asociación con los líderes empresariales cuyos activos están expuestos a esos riesgos. ESRM implica educar a los líderes empresariales sobre los impactos realistas de los riesgos identificados, presentar estrategias potenciales para mitigar esos impactos y luego implementar la opción elegida por la empresa de acuerdo con los niveles aceptados de tolerancia al riesgo empresarial ^[34].

Dispositivos médicos

Para los dispositivos médicos , la gestión de riesgos es un proceso para identificar, evaluar y mitigar los riesgos asociados con daños a las personas y daños a la propiedad o al medio ambiente. La gestión de riesgos es una parte integral del diseño y desarrollo de dispositivos médicos, los procesos de producción y la evaluación de la experiencia de campo, y es aplicable a todo tipo de dispositivos médicos. La evidencia de su aplicación es requerida por la mayoría de organismos reguladores como la FDA estadounidense . La gestión de riesgos de los dispositivos médicos está descrita por la Organización Internacional de Normalización (ISO) en ISO 14971:2019 , Dispositivos médicos: la aplicación de la gestión de riesgos a los dispositivos médicos, una norma de seguridad de productos. La norma proporciona un marco de proceso y requisitos asociados para las responsabilidades de gestión, análisis y evaluación de riesgos, controles de riesgos y gestión de riesgos del ciclo de vida. La orientación sobre la aplicación de la norma está disponible a través de ISO/TR 24971:2020.

La versión europea del estándar de gestión de riesgos se actualizó en 2009 y nuevamente en 2012 para hacer referencia a la revisión de la Directiva de Dispositivos Médicos (MDD) y la Directiva de Dispositivos Médicos Implantables Activos (AIMDD) en 2007, así como a la Directiva de Dispositivos Médicos In Vitro (IVDD). ). Los requisitos de EN 14971:2012 son casi idénticos a los de ISO 14971:2007. Las diferencias incluyen tres Anexos Z "(informativos)" que se refieren a los nuevos MDD, AIMDD e IVDD. Estos anexos indican desviaciones de contenido que incluyen el requisito de que los riesgos se reduzcan en la medida de lo posible y el requisito de que los riesgos se mitiguen mediante el diseño y no mediante el etiquetado en el dispositivo médico (es decir, el etiquetado ya no se puede utilizar para mitigar el riesgo).

Las técnicas típicas de análisis y evaluación de riesgos adoptadas por la industria de dispositivos médicos incluyen análisis de peligros , análisis de árbol de fallas (FTA), análisis de modos y efectos de fallas (FMEA), estudio de peligros y operabilidad ( HAZOP ) y análisis de trazabilidad de riesgos para garantizar que se implementen controles de riesgos. y eficaz (es decir, seguimiento de los riesgos identificados en relación con los requisitos del producto, especificaciones de diseño, resultados de verificación y validación, etc.). El análisis FTA requiere software de diagramación. El análisis FMEA se puede realizar utilizando un programa de hoja de cálculo . También existen soluciones integradas de gestión de riesgos de dispositivos médicos.

A través de un borrador de guía, la FDA ha introducido otro método denominado "Caso de garantía de seguridad" para el análisis de garantía de seguridad de dispositivos médicos. El caso de garantía de seguridad es un razonamiento argumentativo estructurado sobre sistemas apropiados para científicos e ingenieros, respaldado por un conjunto de evidencia, que proporciona un caso convincente, comprensible y válido de que un sistema es seguro para una aplicación determinada en un entorno determinado. Con la guía, se espera un caso de garantía de seguridad para dispositivos críticos para la seguridad (por ejemplo, dispositivos de infusión) como parte de la presentación de autorización previa a la comercialización, por ejemplo, 510(k). En 2013, la FDA presentó otro borrador de guía en el que se esperaba que los fabricantes de dispositivos médicos presentaran información de análisis de riesgos de ciberseguridad.

Gestión de proyectos

La gestión de riesgos del proyecto debe considerarse en las diferentes fases de adquisición. Al inicio de un proyecto, el avance de los desarrollos técnicos, o las amenazas presentadas por los proyectos de un competidor, pueden provocar una evaluación de riesgos o amenazas y una posterior evaluación de alternativas (ver Análisis de Alternativas ). Una vez que se toma una decisión y se inicia el proyecto, se pueden utilizar aplicaciones de gestión de proyectos más familiares: ^{[35] [36] [37]}

• Planificar cómo se gestionará el riesgo en el proyecto en particular. Los planes deben incluir tareas, responsabilidades, actividades y presupuesto de gestión de riesgos.
• Asignar un responsable de riesgos: un miembro del equipo que no sea un director de proyecto y que sea responsable de prever posibles problemas del proyecto. La característica típica del responsable de riesgos es un saludable escepticismo.
• Mantener la base de datos de riesgos del proyecto en vivo. Cada riesgo debe tener los siguientes atributos: fecha de apertura, título, breve descripción, probabilidad e importancia. Opcionalmente un riesgo puede tener asignada una persona responsable de su resolución y una fecha en la que el riesgo debe estar resuelto.
• Creación de un canal anónimo de denuncia de riesgos. Cada miembro del equipo debe tener la posibilidad de informar los riesgos que prevé en el proyecto.
• Elaborar planes de mitigación de los riesgos que se opten por mitigar. El propósito del plan de mitigación es describir cómo se manejará este riesgo particular: qué, cuándo, quién y cómo se hará para evitarlo o minimizar las consecuencias si se convierte en un pasivo.
• Resumir los riesgos planificados y enfrentados, la efectividad de las actividades de mitigación y el esfuerzo realizado para la gestión de riesgos.

Megaproyectos (infraestructura)

Los megaproyectos (a veces también llamados "programas importantes") son proyectos de inversión a gran escala, que normalmente cuestan más de mil millones de dólares por proyecto. Los megaproyectos incluyen grandes puentes, túneles, carreteras, ferrocarriles, aeropuertos, puertos marítimos, centrales eléctricas, represas, proyectos de aguas residuales, esquemas de protección contra inundaciones costeras, proyectos de extracción de petróleo y gas natural, edificios públicos, sistemas de tecnología de la información, proyectos aeroespaciales y sistemas de defensa. Se ha demostrado que los megaproyectos son particularmente riesgosos en términos de finanzas, seguridad e impactos sociales y ambientales. Por lo tanto, la gestión de riesgos es particularmente pertinente para los megaproyectos y se han desarrollado métodos especiales y educación especial para dicha gestión de riesgos. ^[38]

Desastres naturales

Es importante evaluar el riesgo con respecto a desastres naturales como inundaciones , terremotos , etc. Los resultados de la evaluación del riesgo de desastres naturales son valiosos al considerar los costos futuros de reparación, las pérdidas por interrupción del negocio y otros tiempos de inactividad, los efectos sobre el medio ambiente, los costos de seguros y los costos propuestos para reducir el riesgo. ^{[39] [40]} El Marco de Sendai para la Reducción del Riesgo de Desastres es un acuerdo internacional de 2015 que ha establecido objetivos y metas para la reducción del riesgo de desastres en respuesta a los desastres naturales. ^[41] Regularmente se celebran en Davos Conferencias Internacionales sobre Desastres y Riesgos para abordar la gestión integral del riesgo.

Se pueden utilizar varias herramientas para evaluar el riesgo y la gestión de riesgos de desastres naturales y otros eventos climáticos, incluido el modelado geoespacial, un componente clave de la ciencia del cambio terrestre . Este modelado requiere una comprensión de la distribución geográfica de las personas, así como la capacidad de calcular la probabilidad de que ocurra un desastre natural.

Desierto

La gestión de riesgos para las personas y la propiedad en áreas silvestres y naturales remotas se ha desarrollado con un aumento en la participación en actividades recreativas al aire libre y una menor tolerancia social a las pérdidas. Las organizaciones que ofrecen experiencias comerciales en la naturaleza ahora pueden alinearse con los estándares de consenso nacionales e internacionales para capacitación y equipo, como ANSI /NASBLA 101-2017 (navegación), ^[42] UIAA 152 (herramientas para escalar en hielo), ^[43] y la norma europea 13089:2015. + A1:2015 (equipo de montañismo). ^{[44] [45]} La Asociación para la Educación Experiencial ofrece acreditación para programas de aventuras en la naturaleza. ^[46] La Conferencia sobre Gestión de Riesgos en Áreas Silvestres brinda acceso a las mejores prácticas, y organizaciones especializadas brindan consultoría y capacitación en gestión de riesgos en áreas silvestres. ^[47]

El texto Outdoor Safety – Risk Management for Outdoor Leaders, ^[48] publicado por el New Zealand Mountain Safety Council, ofrece una visión de la gestión de riesgos en áreas silvestres desde la perspectiva de Nueva Zelanda, reconociendo el valor de la legislación nacional de seguridad en exteriores y dedicando considerable atención a la Funciones de los procesos de juicio y toma de decisiones en la gestión de riesgos en áreas silvestres.

Uno de los modelos populares para la evaluación de riesgos es el modelo de evaluación de riesgos y gestión de seguridad (RASM) desarrollado por Rick Curtis, autor de The Backpacker's Field Manual. ^[49] La fórmula del Modelo RASM es: Riesgo = Probabilidad de Accidente × Severidad de las Consecuencias. El modelo RASM sopesa el riesgo negativo (el potencial de pérdida) frente al riesgo positivo (el potencial de crecimiento).

Tecnologías de la información

El riesgo de TI es un riesgo relacionado con la tecnología de la información. Este es un término relativamente nuevo debido a la creciente conciencia de que la seguridad de la información es simplemente una faceta de una multitud de riesgos que son relevantes para TI y los procesos del mundo real que soporta. "La ciberseguridad está estrechamente ligada al avance de la tecnología. Sólo tarda el tiempo suficiente para que evolucionen incentivos como los mercados negros y se descubran nuevos exploits. No hay un final a la vista para el avance de la tecnología, por lo que podemos esperar lo mismo de la ciberseguridad. ". ^[50]

El marco de riesgos de TI de ISACA vincula el riesgo de TI con la gestión de riesgos empresariales .

El análisis de riesgos del deber de diligencia (DoCRA) ^[51] evalúa los riesgos y sus salvaguardas y considera los intereses de todas las partes potencialmente afectadas por esos riesgos.

Operaciones

La gestión del riesgo operativo (ORM) es la supervisión del riesgo operativo , incluido el riesgo de pérdida resultante de: procesos y sistemas internos inadecuados o fallidos; factores humanos; o eventos externos. Dada la naturaleza de las operaciones , ORM suele ser un proceso "continuo" e incluirá una evaluación de riesgos continua, la toma de decisiones de riesgo y la implementación de controles de riesgo.

Petróleo y gas natural

Para la industria del petróleo y el gas costa afuera, la gestión del riesgo operativo está regulada por el régimen de casos de seguridad en muchos países. Las herramientas y técnicas de identificación de peligros y evaluación de riesgos se describen en la norma internacional ISO 17776:2000, y organizaciones como la IADC (Asociación Internacional de Contratistas de Perforación) publican directrices para el desarrollo de casos de Salud, Seguridad y Medio Ambiente (HSE) que se basan en la Estándar ISO. Además, los reguladores gubernamentales suelen esperar representaciones esquemáticas de sucesos peligrosos como parte de la gestión de riesgos en la presentación de casos de seguridad; estos se conocen como diagramas de pajarita (consulte Teoría de redes en la evaluación de riesgos ). La técnica también es utilizada por organizaciones y reguladores en minería, aviación, salud, defensa, industria y finanzas.

sector farmacéutico

Los principios y herramientas para la gestión de riesgos de calidad se aplican cada vez más a diferentes aspectos de los sistemas de calidad farmacéutica. Estos aspectos incluyen procesos de desarrollo, fabricación, distribución, inspección y presentación/revisión a lo largo del ciclo de vida de sustancias farmacéuticas, productos farmacéuticos, productos biológicos y biotecnológicos (incluido el uso de materias primas, disolventes, excipientes, materiales de embalaje y etiquetado en productos farmacéuticos, productos biológicos y biotecnológicos). La gestión de riesgos también se aplica a la evaluación de la contaminación microbiológica en relación con productos farmacéuticos y entornos de fabricación de salas blancas. ^[52]

Cadena de suministro

La gestión de riesgos de la cadena de suministro (SCRM) tiene como objetivo mantener la continuidad de la cadena de suministro en caso de escenarios o incidentes que podrían interrumpir el negocio normal y, por tanto, la rentabilidad. Los riesgos para la cadena de suministro varían desde cotidianos hasta excepcionales, desde eventos naturales impredecibles (como tsunamis y pandemias ) hasta productos falsificados, y abarcan desde la calidad, la seguridad hasta la resiliencia y la integridad del producto. La mitigación de estos riesgos puede involucrar varios elementos del negocio, incluida la logística y la ciberseguridad, así como las áreas de finanzas y operaciones.

Comunicación de riesgos

La comunicación de riesgos es un campo académico interdisciplinario complejo que forma parte de la gestión de riesgos y está relacionado con campos como la comunicación de crisis . El objetivo es asegurarse de que las audiencias objetivo comprendan cómo los riesgos les afectan a ellos o a sus comunidades apelando a sus valores. ^{[53] [54]}

La comunicación de riesgos es particularmente importante en la preparación para desastres , ^[55] la salud pública , ^[56] y la preparación para grandes riesgos catastróficos globales . ^[55] Por ejemplo, los impactos del cambio climático y el riesgo climático afectan a todos los sectores de la sociedad, por lo que comunicar ese riesgo es una práctica importante de comunicación climática , para que las sociedades planifiquen la adaptación al clima . ^[57] De manera similar, en la prevención de pandemias , la comprensión del riesgo ayuda a las comunidades a detener la propagación de enfermedades y mejorar las respuestas. ^[58]

La comunicación de riesgos aborda los posibles riesgos y tiene como objetivo crear conciencia sobre esos riesgos para fomentar o persuadir cambios de comportamiento para aliviar las amenazas a largo plazo. Por otro lado, la comunicación de crisis tiene como objetivo crear conciencia sobre un tipo específico de amenaza, su magnitud, resultados y comportamientos específicos a adoptar para reducir la amenaza. ^[59]

La comunicación de riesgos en seguridad alimentaria es parte del marco de análisis de riesgos . Junto con la evaluación y la gestión de riesgos, la comunicación de riesgos tiene como objetivo reducir las enfermedades transmitidas por los alimentos . La comunicación de riesgos para la inocuidad de los alimentos es una actividad obligatoria para las autoridades de inocuidad de los alimentos ^[60] en los países que adoptaron el Acuerdo sobre la Aplicación de Medidas Sanitarias y Fitosanitarias .

La comunicación de riesgos también existe a menor escala. Por ejemplo, los riesgos asociados con las decisiones médicas personales deben comunicarse a esa persona junto con su familia. ^[61]

Ver también

• BNP Paribas § 152 millones de euros de gestión de riesgos
• Continuidad del negocio
• Modelización de catástrofes para la gestión de riesgos
• Cruzar el río tocando las piedras.
• Reducción de Desastres
• Gestión de riesgos empresariales
• Autoridad de Gestión de Riesgos Ambientales (Nueva Zelanda)
• Gestion de riesgos financieros
• Teoría del riesgo del beneficio de Hawley (1893)
• Instituto Internacional de Gestión de Riesgos y Seguridad
• ISO 31000
• Gestión de riesgos de TI
• Consultor de control de pérdidas
• Consejo Nacional de Seguridad (EE.UU.)
• Gestión del riesgo operativo
• Sesgo de optimismo
• Análisis de riesgo de plagas
• Principio de precaución
• Gestión de riesgos del proyecto.
• Previsión de clases de referencia
• Heurística representativa
• Análisis de riesgo
• Apetito por el riesgo
• Evaluación de riesgos
• Aversión al riesgo
• Herramientas de gestión de riesgos
• El criterio de seguridad de Roy es lo primero
• Gestion de seguridad
• Gestión de riesgos sociales
• Activo varado
• Gestión de riesgos de la cadena de suministro
• Tres líneas de defensa
• Modelo Gordon-Loeb para inversiones en ciberseguridad

Referencias

1. Hubbard, Douglas (2009). El fracaso de la gestión de riesgos: por qué no funciona y cómo solucionarlo . John Wiley e hijos. pag. 46.
2. Guía ISO/IEC 73:2009 (2009). Gestión de riesgos — Vocabulario. Organización Internacional de Normalización.{{cite book}}: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )
3. ISO/DIS 31000 (2018). Gestión de riesgos: principios y directrices sobre su implementación. Organización Internacional de Normalización .{{cite book}}: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )
4. ISO 31000:2018 - Gestión de riesgos - Una guía práctica (1 ed.). ISO, ONUDI. 2021. ISBN 978-92-67-11233-6. Consultado el 17 de diciembre de 2021 .
5. Sociedad "Gerente de Riesgos" para la Gestión de Recursos Humanos
6. "¿Qué son los analistas y gestores de riesgos?", CFA Institute
7. Dionne, Georges (2013). "Gestión de riesgos: historia, definición y crítica: gestión de riesgos". Gestión de Riesgos y Revisión de Seguros . 16 (2): 147–166. doi :10.1111/rmir.12016. S2CID  154679294.
8. "El ascenso del riesgo". www.pmi.org . Consultado el 13 de diciembre de 2021 .
9. "Fijación de objetivos en la gestión de riesgos. Argumentos a favor del lado positivo del riesgo". Stefan Morkov . 2021 . Consultado el 13 de diciembre de 2021 .
10. Morcov, Stefan (2021). Gestión de la complejidad positiva y negativa: diseño y validación de un marco de gestión de la complejidad de proyectos de TI. Universidad KU de Lovaina. Disponible en https://lirias.kuleuven.be/retrieve/637007
11. "Borrador del Comité de Gestión de Riesgos ISO 31000" (PDF) . Organización Internacional de Normalización . 2007-06-15. Archivado desde el original (PDF) el 25 de marzo de 2009.
12. Mandelbrot, Benoit y Richard L. Hudson (2008). El (mal) comportamiento de los mercados: una visión fractal del riesgo, la ruina y la recompensa . Londres: Libros de perfiles. ISBN 9781846682629.
13. "Identificación de riesgos" (PDF) . Comunidad de Madrid. pag. 3.
14. CMU/SEI-93-TR-6 Identificación de riesgos basada en taxonomía en la industria del software. Sei.cmu.edu. Recuperado el 17 de abril de 2012.
15. "Lista de verificación de sistemas de gestión de riesgos (elementos comunes)" (PDF) . www.fsa.go.jpn .
16. Lista de exposiciones y vulnerabilidades comunes. Cve.mitre.org. Recuperado el 17 de abril de 2012.
17. Crockford, Neil (1986). Introducción a la gestión de riesgos (2 ed.). Cambridge, Reino Unido: Woodhead-Faulkner. pag. 18.ISBN _ 0-85941-332-2.
18. "Preguntas del examen CRISC" . Consultado el 23 de febrero de 2018 .
19. Dorfman, Mark S. (2007). Introducción a la Gestión de Riesgos y Seguros (9 ed.). Englewood Cliffs, Nueva Jersey: Prentice Hall. ISBN 978-0-13-224227-1.
20. McGivern, Gerry; Fischer, Michael D. (1 de febrero de 2012). "Reactividad y reacciones a la transparencia regulatoria en medicina, psicoterapia y asesoramiento" (PDF) . Ciencias Sociales y Medicina . 74 (3): 289–296. doi :10.1016/j.socscimed.2011.09.035. PMID  22104085. Archivado desde el original (PDF) el 21 de abril de 2018 . Consultado el 20 de abril de 2018 .
21. Pautas de casos de HSE de la IADC para unidades móviles de perforación costa afuera 3.2, sección 4.7
22. Roehrig, P (2006). "Apuesta por la gobernanza para gestionar el riesgo de subcontratación". Tendencias empresariales trimestrales .
23. Shashi; Centobelli, Piera; Cerchione, Roberto; Ertz, Myriam (2020). "Gestión de la resiliencia de la cadena de suministro para implementar estrategias comerciales y ambientales". Estrategia Empresarial y Medio Ambiente . 29 (3): 1215-1246. doi :10.1002/bse.2428. ISSN  0964-4733. S2CID  213432044.
24. Snedaker, Susan (2014). Planificación de continuidad del negocio y recuperación ante desastres para profesionales de TI. Chris Rima (2ª ed.). Waltham, MA: Syngress. ISBN 978-1-299-85332-4. OCLC  858657442.
25. Institute of Enterprise Risk Practitioners "Distinguir entre enfoques ERM y ORM".
26. Glosario de términos de seguridad de SANS obtenido el 13 de noviembre de 2016
27. Universidad de Tromsø, Gestión de riesgos contractuales (C-RM), consultado el 6 de enero de 2021.
28. Greengard, S. (2010), La diferencia está en los detalles, Engineering Inc., septiembre/octubre de 2010, páginas 13-15
29. UDC – UNIVERSAL DEVELOPMENT, LP, Contrademandante y demandado, v. CH2M HILL, Contrademanda y apelante, Tribunal de Apelaciones, Sexto Distrito, California, 15 de enero de 2010, consultado el 7 de enero de 2021
30. Estado de Florida, Witt contra La Gorce Country Club, Tribunal de Apelaciones del Tercer Distrito, 10 de junio de 2009, consultado el 6 de enero de 2021.
31. Comisión Europea, Marco de gestión de riesgos aduaneros (CRMF), consultado el 28 de marzo de 2023.
32. Comisión Europea, Gestión de riesgos aduaneros en detalle, consultado el 28 de marzo de 2023.
33. Comisión Europea, Comunicación de la Comisión al Parlamento Europeo, el Consejo y el Comité Económico y Social Europeo sobre la gestión de riesgos aduaneros y la seguridad de la cadena de suministro, COM(2012) 793 final, página 3, publicado el 8 de enero de 2013, consultado el 27 diciembre 2023
34. ASIS https://www.asisonline.org/publications--resources/news/blog/esrm-an-enduring-security-risk-model/
35. Lev Virine y Michael Trumper. Decisiones de proyectos: el arte y la ciencia . (2007). Conceptos de gestión. Viena. VIRGINIA. ISBN 978-1-56726-217-9 
36. Lev Virine y Michael Trumper. ProjectThink: Por qué los buenos gerentes toman malas decisiones en los proyectos . Gower Pub Co. ISBN 978-1409454984 
37. Peter Simon y David Hillson, Gestión práctica de riesgos: la metodología ATOM (2012). Conceptos de gestión. Viena, VA. ISBN 978-1567263664 
38. Centro Oxford BT para la gestión de programas importantes
39. Berman, Alan. Construcción de un plan de continuidad empresarial exitoso. Revista Business Insurance , 9 de marzo de 2015. http://www.businessinsurance.com/article/20150309/ISSUE0401/303159991/constructing-a-successful-business-continuity-plan
40. Craig Taylor; Erik VanMarcke, eds. (2002). Procesos de Riesgo Aceptable: Líneas de Vida y Peligros Naturales. Reston, VA: ASCE, TCLEE. ISBN 9780784406236. Archivado desde el original el 3 de diciembre de 2013.
41. Rowling, Megan (18 de marzo de 2015). "El nuevo plan global contra desastres establece objetivos para frenar el riesgo y las pérdidas | Reuters". Reuters . Consultado el 13 de enero de 2016 .
42. "Estándar nacional estadounidense ANSI/NASBLA 101-2017: conocimientos básicos de navegación: propulsión humana" (PDF) . Consultado el 1 de noviembre de 2018 .
43. "Estándar UIAA 152: herramientas para hielo" (PDF) . Consultado el 1 de noviembre de 2018 .
44. "EN 13089 Equipos de montañismo - Herramientas para hielo - Requisitos de seguridad y métodos de prueba (incluye la Enmienda A1: 2015)" . Consultado el 1 de noviembre de 2018 .
45. "Norma irlandesa ISEN 13089:2011+A1:2015 Equipos de montañismo - Herramientas para hielo - Requisitos de seguridad y métodos de prueba" (PDF) . Consultado el 1 de noviembre de 2018 .
46. "Asociación para la Educación Experiencial" . Consultado el 1 de noviembre de 2018 .
47. "Servicios de riesgos NOLS" . Consultado el 1 de noviembre de 2018 .
48. Abadejo (2013). Seguridad al aire libre: gestión de riesgos para líderes al aire libre. Wellington, Nueva Zelanda: Consejo de Seguridad en las Montañas de Nueva Zelanda. ISBN 9780908931309.
49. Schneider, Ari (23 de mayo de 2018). Liderazgo y educación al aire libre . ISBN 9781732348202.
50. Arnold, Rob (2017). Ciberseguridad: una solución empresarial . Bosquejo de amenazas. pag. 4.ISBN _ 978-0692944158.
51. "Estándar de análisis de riesgos del deber de diligencia (DoCRA)". DoCRA . Archivado desde el original el 14 de agosto de 2018 . Consultado el 22 de agosto de 2018 .
52. Saghee M, Sandle T, Tidswell E (editores) (2011). Microbiología y garantía de esterilidad en productos farmacéuticos y dispositivos médicos (1ª ed.). Horizontes empresariales. ISBN 978-8190646741. {{cite book}}: |author=tiene nombre genérico ( ayuda )Mantenimiento CS1: varios nombres: lista de autores ( enlace )
53. Manual básico sobre comunicación de riesgos: herramientas y técnicas. Centro de salud pública de la Armada y el Cuerpo de Marines
54. Comprensión de la teoría de la comunicación de riesgos: una guía para comunicadores y administradores de emergencias. Informe para la División de Factores Humanos/Ciencias del Comportamiento, Dirección de Ciencia y Tecnología, Departamento de Seguridad Nacional de EE. UU. (mayo de 2012)
55. Rahman, Alfi; Munadi, Khairul (2019). "Comunicar el riesgo para mejorar la preparación para desastres: un ejemplo pragmático de enfoque de comunicación del riesgo de desastres a partir del caso de Smong Story". Serie de conferencias del IOP: Ciencias de la Tierra y el Medio Ambiente . 273 (1): 012040. Código Bib :2019E&ES..273a2040R. doi : 10.1088/1755-1315/273/1/012040 . S2CID  199164028.
56. Motarjemi, Y.; Ross, T (1 de enero de 2014), "Análisis de riesgos: comunicación de riesgos: peligros biológicos", en Motarjemi, Yasmine (ed.), Enciclopedia de seguridad alimentaria , Waltham: Academic Press, págs. 127-132, ISBN 978-0-12-378613-5, recuperado el 12 de noviembre de 2021
57. "Comunicación de riesgos en el contexto del cambio climático". nosADAPTAMOS | Planificación, investigación y práctica de la adaptación al cambio climático . 25 de marzo de 2011 . Consultado el 12 de noviembre de 2021 .
58. "LA COMUNICACIÓN DE RIESGOS SALVA VIDAS Y MEDIOS DE VIDA Marco de preparación para una influenza pandémica" (PDF) . Organización Mundial de la Salud. 2015.
59. REYNOLDS, BÁRBARA; SEEGER, MATTHEW W. (23 de febrero de 2005). "La comunicación de riesgos de crisis y emergencias como modelo integrador". Revista de Comunicación en Salud . 10 (1): 43–55. doi :10.1080/10810730590904571. ISSN  1081-0730. PMID  15764443. S2CID  16810613.
60. Kasza, Gyula; Csenki, Eszter; Szakos, David; Izsó, Tekla (1 de agosto de 2022). "La evolución de la comunicación de riesgos en seguridad alimentaria: Modelos y tendencias del pasado y del futuro". Control de Alimentos . 138 : 109025. doi : 10.1016/j.foodcont.2022.109025 . ISSN  0956-7135. S2CID  248223805.
61. Stevenson, Mabel; Taylor, Brian J. (3 de junio de 2018). "Comunicación de riesgos en la atención de la demencia: perspectivas familiares". Revista de investigación de riesgos . 21 (6): 692–709. doi :10.1080/13669877.2016.1235604. ISSN  1366-9877. S2CID  152134132.

enlaces externos

• Guía de gestión de riesgos, problemas y oportunidades del Departamento de Defensa para programas de adquisiciones de defensa Archivado el 4 de julio de 2017 en Wayback Machine (2017)
• Guía de gestión de riesgos del Departamento de Defensa para programas de adquisiciones de defensa (2014)
• Medios relacionados con la gestión de riesgos en Wikimedia Commons