Análisis de riesgos (empresariales)

El análisis de riesgos es el proceso de identificación y evaluación de los riesgos que pueden poner en peligro el éxito de una organización . Normalmente se enmarca en un marco de gestión de riesgos más amplio .

Un análisis de riesgos diligente ayuda a construir medidas preventivas para reducir la probabilidad de que ocurran incidentes, así como contramedidas para abordar los incidentes a medida que se desarrollan para minimizar los impactos negativos en la organización.

Un método popular para realizar análisis de riesgos en sistemas de TI se denomina proceso de análisis de riesgos facilitado (FRAP). ^{[ cita requerida ]}

Proceso de análisis de riesgos facilitado

FRAP analiza un sistema, aplicación o segmento de procesos de negocio a la vez.

FRAP supone que los esfuerzos adicionales para desarrollar riesgos cuantificados con precisión no son rentables porque:

Estas estimaciones requieren mucho tiempo.
La documentación de riesgos se vuelve demasiado voluminosa para su uso práctico
Generalmente no se necesitan estimaciones de pérdidas específicas para determinar si se necesitan controles.
Sin suposiciones, hay poco análisis de riesgos

Después de identificar y categorizar los riesgos, un equipo identifica los controles que podrían mitigarlos. La decisión sobre qué controles son necesarios recae en el gerente de la empresa. Las conclusiones del equipo sobre qué riesgos existen y qué controles son necesarios se documentan junto con un plan de acción relacionado para la implementación de los controles.

Tres de los riesgos más importantes a los que se enfrenta una empresa de software son: cambios inesperados en los ingresos, cambios inesperados en los costos con respecto a los presupuestados y el nivel de especialización del software planificado. Los riesgos que afectan a los ingresos pueden ser: competencia imprevista, privacidad, problemas de derechos de propiedad intelectual y ventas unitarias inferiores a las previstas. Los costos de desarrollo inesperados también crean el riesgo que puede presentarse en forma de más retrabajo de lo previsto, agujeros de seguridad e invasiones de la privacidad. ^[1]

La especialización limitada del software con una gran cantidad de gastos de investigación y desarrollo puede generar riesgos tanto comerciales como tecnológicos, ya que la especialización no necesariamente conduce a menores costos unitarios del software. ^[2] Combinado con la disminución de la base de clientes potenciales, el riesgo de especialización puede ser significativo para una empresa de software. Una vez que se han calculado las probabilidades de los escenarios con el análisis de riesgos, se puede aplicar el proceso de gestión de riesgos para ayudar a gestionar el riesgo.

Métodos como la economía de la información aplicada complementan y mejoran los métodos de análisis de riesgos al introducir procedimientos para ajustar probabilidades subjetivas, calcular el valor de información adicional y utilizar los resultados como parte de un problema más amplio de gestión de cartera .

Véase también

Referencias

^ Messerschmitt, DG y C. Szyperski (mayo-junio de 2004). "Cuestiones de mercado en la planificación y el diseño de software". IEEE Software . 21 (3): 62–70. CiteSeerX 10.1.1.57.9389 . doi :10.1109/MS.2004.1293074.
^ Rao, PM y JA Klein (febrero de 1994). "Importancia creciente de las estrategias de marketing para la industria del software". Gestión de marketing industrial . 23 (1): 29–37. doi :10.1016/0019-8501(94)90024-8.

Lectura adicional

Doug Hubbard (1998). "Superando el riesgo". Revista CIO.
Hiram, CE, Índice Peren-Clement, 2012.
Roebuck, K.: Normas de gestión de riesgos, 2011.
Wankel, C.: Enciclopedia de negocios en el mundo actual, 2009.

Enlaces externos

NIST SP 800-30 - Guía de gestión de riesgos para sistemas de tecnología de la información