Linkedin Youtube Facebook Instagram
Campus Virtual

Por qué evaluar riesgos no es lo mismo que gestionarlos

Compartir:

Facebook
Twitter
LinkedIn

En muchas organizaciones existe una peligrosa ilusionismo de control: creer que por tener un buen informe de evaluación de riesgos, el problema está resuelto. Nada más lejos de la realidad.

Evaluar riesgos es solo el comienzo. Gestionarlos es una función permanente de dirección, decisión y gobierno.

La confusión más común

En Latinoamérica, y en muchos otros mercados, la gestión de riesgos suele reducirse a:

  • Hacer una matriz
  • Identificar amenazas
  • Calificar probabilidades e impactos
  • Entregar un informe
  • Y archivarlo

Esto no es gestión. Eso es diagnóstico.

Un diagnóstico no cambia la realidad si no se convierte en decisión, prioridad, inversión y acción.

Evaluar es una foto. Gestionar es una película

La evaluación de riesgos captura un momento en el tiempo. La gestión de riesgos gobierna dinámica permanente.

Los riesgos:

  • Cambian
  • Evolucionan
  • Se combinan
  • Aparecen donde antes no existían

Gestionarlos implica:

  • Definir apetito del riesgo
  • Priorizar criterio de negocio
  • Decidir dónde aceptar, mitigar, transferir o evitar
  • Asignar responsables
  • Medir eficacia
  • Revisar y ajustar

Nada de eso ocurre en una simple matriz

El verdadero problema: la falta de gobierno

Cuando los riesgos no se gestionan, normalmente no es por falta de metodología. Es por falta de estructura de decisión.

Preguntas incómodas que muchas organizaciones no pueden responder:

  • ¿Quién decide qué riesgos se aceptan?
  • ¿Con qué criterios?
  • ¿Qué riesgos son estratégicos y cuáles operativos?
  • ¿Quién rinde cuentas si algo ocurre?

Sin gobierno, la gestión de riesgos se convierte en un ritual técnico sin impacto real.

De la seguridad a la gestión del negocio

Aquí es donde la función de seguridad (y de riesgos en general) tiene que madurar:

No está para describir peligros. Está para ayudar a a organización a decidir cómo convivir con ellos.

Este es el salto de:

  • Técnico ➡️ Estratégico
  • Informe ➡️ Decisión
  • Control ➡️ Gobierno

El aporte del enfoque ESRM

El enfoque de Enterprise Security Risk Management (ESRM) propone exactamente eso:

  • Alinear los riesgos de seguridad con los objetivos del negocio
  • Priorizar según impacto de procesos críticos
  • Integrar la seguridad a la gobernanza corporativa
  • Convertir la seguridad en socio de decisión, no en área reactiva

Una conclusión clara

Si tu organización solo evalúa riesgos, todavía no los está gestionando.

Gestionar riesgos es un proceso vivo, incómodo, estratégico y profundamente directivo.

Y justamente por eso, es una de as funciones más valiosas, y menos entendidas, dentro de las organizaciones modernas.

Artículos relacionados

Formando líderes de seguridad desde el 2002

www.ceslatam.com