Definición de la fórmula de riesgo. Matemáticamente, el riesgo es un múltiplo de la probabilidad y el impacto. Es la probabilidad de que se produzca una infracción multiplicada por el impacto de la misma en la empresa.
El riesgo inherente es diferente del riesgo residual, que es el riesgo que queda después de evaluar los controles que se aplican para mitigar los riesgos. Se calcula multiplicando el riesgo inherente por la eficacia del control.
Definición de la fórmula de riesgo: Riesgo inherente, riesgo residual y eficacia del control
Un riesgo es cualquier amenaza de que un evento o acción tenga un impacto negativo en la empresa y sus objetivos. El riesgo se define como la combinación de la probabilidad de que se produzca un acontecimiento y las consecuencias del mismo. Esto nos proporciona una fórmula sencilla para calcular el nivel de riesgo en cualquier situación.
Riesgo inherente
El nivel de riesgo de sanción que existe antes de aplicar los controles para minimizarlo se denomina riesgo inherente. Los clientes, los productos y servicios, los países y los canales de distribución son las cuatro áreas principales de riesgo inherente. Puede observar que las categorías de riesgo son similares a las utilizadas en las evaluaciones del riesgo de financiación del terrorismo y de la lucha contra el blanqueo de capitales. El riesgo inherente se utiliza con frecuencia como punto de partida de una evaluación de riesgos, y tiene en cuenta la probabilidad y la gravedad del incumplimiento antes de considerar los efectos mitigadores de los procesos de gestión de riesgos.
Tras la evaluación de los riesgos inherentes, las empresas deben determinar los controles existentes para reducir los riesgos inherentes. La eficacia del control (también conocida como medidas de mitigación o calidad de la gestión del riesgo) es una evaluación de la calidad de los controles utilizados para minimizar los riesgos inherentes de una empresa.
Estos controles deben ser adecuados y eficaces para mitigar los riesgos identificados. Es decir, deben ser proporcionales: cuando hay un riesgo elevado, los controles deben ser más exhaustivos para mitigar ese riesgo.
Controla
Los controles utilizados dentro de un programa de gestión de riesgos incluyen:
- Gobernanza;
- Políticas y procedimientos;
- Conozca a sucliente/diligencia deb ida(incluida la propiedad efectiva);
- Información sobre la gestión;
- Mantenimiento y conservación de registros;
- Bloqueos/rechazos de sanciones;
- Seguimiento;
- Formación y sensibilización;
- Pruebas independientes.
Por ejemplo, el riesgo inherente al cliente puede reducirse mediante procedimientos exhaustivos de conocimiento del cliente (KYC) para identificar a los clientes, sus propietarios y controladores, y la naturaleza y el propósito de su negocio. Durante el proceso de incorporación, estos procedimientos podrían implicar la entrega de ciertos tipos de documentos, como autorizaciones de licencias.
Este procedimiento reduciría el riesgo, por ejemplo, de proporcionar financiación comercial para la exportación de un producto que está restringido por una sanción
Cada uno de los controles enumerados anteriormente puede ayudar a mitigar los niveles de riesgo inherentes evaluados inicialmente. Como resultado, la organización puede determinar qué secciones de su negocio parecen plantear mayores niveles de riesgo.
Riesgo residual
El apetito de riesgo de la empresa es importante a la hora de evaluar el riesgo residual. En esta fase del proceso de evaluación, la organización puede identificar qué áreas de negocio se consideran de alto riesgo después de establecer la eficacia del control. Una empresa tiene cuatro opciones para gestionar los riesgos residuales:
En primer lugar, puede transferir el riesgo. Sin embargo, dado que una empresa no puede transferir la responsabilidad del cumplimiento de las sanciones a otra persona, esta no es siempre una buena opción. Si una empresa asigna la responsabilidad a un proveedor o a un tercero, la empresa debe asegurarse de que el proveedor está cualificado y tiene controles eficaces.
En segundo lugar, puede evitar el riesgo. Si el nivel de riesgo supera su apetito de riesgo, la empresa puede decidir interrumpir o no seguir una determinada línea de productos o decidir no aceptar relaciones comerciales con clientes que, por ejemplo, realizan negocios en determinados países.
En tercer lugar, puede tratar de mitigar aún más el riesgo, por ejemplo, disminuyendo los umbrales de «lógica difusa«, aumentando la supervisión, adoptando otros controles y/o reforzando los controles actuales para gestionar el riesgo.
En cuarto lugar, puede aceptar el riesgo.
Una fórmula común para el riesgo
El riesgo se define comúnmente como: Riesgo = Amenaza x Vulnerabilidad x Consecuencia. No se trata de una fórmula matemática, sino de un modelo para demostrar un concepto.
Debería haber algunas unidades de medida comunes y neutrales para definir una amenaza, vulnerabilidad o consecuencia para una fórmula matemática completa. Por desgracia, eso ya no existe. Para algunas partes de la fórmula, existen algunas unidades comunes, como el CVSS para describir una vulnerabilidad, pero éstas dependen del entorno o son subjetivas para quienes utilizan la fórmula.
Por otro lado, si se puede eliminar una parte de la fórmula, como la parte de la amenaza o la vulnerabilidad, y sustituirla por una casi nula, el valor del riesgo resultante se reduce a casi nada.
Medición de la probabilidad del riesgo
La primera parte de la fórmula del riesgo, Amenaza x Vulnerabilidad, también puede interpretarse como probabilidad. Esta probabilidad es una estimación aproximada de la posibilidad de que una determinada vulnerabilidad sea descubierta y explotada por un actor de la amenaza.
Aunque puedes limitar algunos factores, el actor de la amenaza suele estar fuera de tu control. La calificación del actor de la amenaza se determina por una serie de factores, entre ellos:
- El nivel de habilidad del atacante;
- La motivación del actor;
- La posibilidad: si el atacante tiene los conocimientos y el acceso necesarios; y
- Las capacidades de su oponente, incluyendo sus recursos financieros.
Reflexiones finales
Si los atacantes siguen siendo capaces de acceder a su entorno a pesar de todas las medidas de seguridad necesarias, debe poner en marcha su plan de respuesta a incidentes. Asegúrese de haber configurado las capacidades de detección y las fuentes de registro para llevar a cabo la investigación. La detección implica algo más que la simple observación de sucesos inusuales. Combine los distintos eventos y busque anomalías utilizando la inteligencia humana y de amenazas.
