1. IV
IV
4.2 Tolerancia al riesgo, Riesgo residual y exposición.
La administración de riesgos incluye la evaluación de estos riesgos y el proceso de
actuar sobre dicha desviación. El uso de la evaluación de riesgo en las etapas de
planeación asume que la administración prudente tomará las medidas necesarias
para administrar el riesgo una vez que lo ha evaluado. La evaluación de riesgo
incluye un proceso de tres pasos:
1. Identificación de riesgo: Entender los riesgos y cuáles pueden sus consecuencias.
2. Medición de los riesgos: Medir las consecuencias probables y su severidad.
3. Priorización de riesgo: Priorizar los resultados para colocar mayor esfuerzo
gerencial en los riesgos más altos.
La administración de riesgos cierra entonces el círculo cuando toma decisiones
sobre cómo administrar el riesgo evaluado:
Evaluar el riesgo: diseñar el proceso para eliminar riesgos particulares,
minimizar los riesgos o cambiar la naturaleza de los riesgos que serán
enfrentados.
Controlar el riesgo: establecer las consecuencias y la severidad de la
ocurrencia de los riesgos. Esto incluye aceptar algún riesgo.
Compartir el riesgo: A través de arreglos contractuales con proveedores,
clientes, integrantes o terceras partes (tales como aseguradores), se
distribuye alguna porción del riesgo o actividades de riesgos sobre otros
aceptando el remanente.
Siempre hay un monto de riesgo residual que permanece luego de todos los
esfuerzos que se han hecho para evitar, controlar o compartir el riesgo. Si el riesgo
residual es demasiado alto, entonces la tarea no debe llevarse a cabo. Si el riesgo
residual no es demasiado alto, la gerencia puede optar por aceptar tal cantidad de
riesgo para lograr los objetivos.
2. IV
IV
Adicionalmente a los riesgos residuales, que permanecen pese a los esfuerzos de
administración de riesgos, hay riesgos inherentes en el proceso de administración,
conocidos como riesgos de control, o aquellos riesgos asociados con confiar en
cierto procedimiento de control, etcétera, que fallan en el cumplimiento de su tarea.
Tanto el riesgo residual como el riesgo de control necesitan ser explícitamente
tratados por la administración.
Después de una detallada evaluación de riesgos, la organización debe tener
definida su tolerancia al riesgo, haber identificado el riesgo residual y determinar si
éste excede su umbral y finalmente haber aceptado algún grado tolerable de riesgo
(exposición).