Riesgo inherente versus riesgo residual: diferencias y ejemplos explicados

En esta publicación, veremos cuáles son las principales diferencias entre el riesgo inherente y los riesgos residuales. Ambos tienen sus propias implicaciones, así que echemos un vistazo primero a lo que es la gestión de riesgos.

¿Qué es la Gestión de Riesgos?

La gestión de riesgos es uno de los procesos más esenciales que se lleva a cabo en las empresas y organizaciones. Puede explicarse como la evaluación, el reconocimiento y la gestión de los beneficios y los riesgos de los recursos de la organización. El concepto no es nuevo; sin embargo, la forma en que las organizaciones ven el riesgo ha cambiado.

Los riesgos importantes de cualquier organización incluyen la seguridad financiera, las responsabilidades reglamentarias, la gestión estratégica, los peligros naturales y otros incidentes. Las empresas suelen establecer el riesgo sin considerar los riesgos y pueden fracasar en las operaciones siempre que se presenten riesgos ocultos. Si no se gestionan adecuadamente estos riesgos, será bastante difícil para la organización determinar sus objetivos a largo plazo.

Los gestores deben ser conscientes de los múltiples tipos de riesgos que existen en la operación. Para gestionar correctamente los riesgos, es muy fundamental entender cómo evaluarlos antes y después de que se diseñen e implementen ciertos controles. Esto nos lleva a dos términos que quizás haya escuchado antes en términos de riesgos, riesgo inherente y riesgo residual.

Echaremos un vistazo más de cerca a los dos riesgos más comunes y aplicables dentro de la organización; están correlacionados y deben manejarse bien.

¿Qué es el Riesgo Inherente?

El riesgo inherente se refiere a la cantidad de riesgos que existen dentro de la operación sin implementar las restricciones y controles. En otras palabras, los riesgos intrínsecos suelen ocurrir cuando no se tiene control sobre las operaciones. Este tipo de amenaza existe naturalmente antes de que se haga ningún esfuerzo por resolverla; por lo tanto, impacta el desarrollo de la estrategia de recuperación de los riesgos mencionados.

El riesgo inherente solo se puede determinar después de que se hayan establecido las metas y los objetivos de la empresa, y se hayan reconocido todos los obstáculos que pueden impedir que la empresa alcance las metas. Además de reconocer los efectos que el riesgo puede traer a la organización, los gerentes también deben considerar identificar la causa y el origen de los riesgos, ya sea que se originen por causas naturales o por errores. Esto resaltará las características y la fuente del riesgo, reduciendo así la probabilidad de ocurrencia.

Ejemplos de riesgo inherente

Si bien el riesgo inherente puede diferir de una empresa a otra, echemos un vistazo a algunos de los ejemplos comunes que tienen el potencial de causar problemas de seguridad significativos cuando no se abordan con controles.

• Pérdida o mal manejo de datos confidenciales y personales: sin los controles adecuados, asegúrese de que todos los datos estén protegidos y almacenados. Los gerentes y las empresas podrían exponer o perder datos de la empresa o del cliente.
• Falta de software o dispositivo de seguridad: la estandarización de las pautas de los empleados y la creación de reglas de contraseña sobre cómo los empleados deben atender sus dispositivos son buenos ejemplos de controles que pueden ayudar a proteger el software y el hardware de la empresa. Si estos controles no existen o son demasiado laxos, es probable que ocurran filtraciones de datos.
• Acceso de usuarios no autorizados e indebidos: el acceso a la información debe ser monitoreado y regulado para que solo los empleados autorizados puedan ver y manejar información específica. Tener los ojos equivocados sobre cierta información podría llevar a degradar la violación de las leyes de privacidad, posibles demandas, incumplimiento de contrato, etc.

La auditoría involucra múltiples tipos de riesgo, y el riesgo inherente se toma como una de las amenazas más riesgosas. No se toma a la ligera eliminar más salvaguardas o auditores. Sin embargo, debe abordarse al analizar los estados financieros de la organización.

¿Qué es el Riesgo Residual?

En la gestión de riesgos, existen múltiples formas de superar los riesgos en las operaciones comerciales. El riesgo residual es un riesgo que existe sin control dentro del lugar. Este tipo de riesgo se puede mencionar fácilmente como el riesgo que aún persiste incluso después de que cualquier organización haya tomado medidas preventivas para minimizar la probabilidad y el efecto del evento de riesgo.

La transferencia de riesgo es cuando el riesgo se transfiere a otro equipo o partido. Por último, la aceptación del riesgo se produce cuando la dirección es consciente de un determinado riesgo pero decide no invertir en la solución del riesgo. A pesar de todos los esfuerzos para manejar los riesgos, es bastante complicado e imposible erradicar todos los riesgos que pueden o no existir. Los riesgos permanecen después de la mitigación del control y se conocen generalmente como riesgos residuales.

Ejemplos de riesgos residuales

Al igual que los riesgos inherentes, los riesgos residuales son diferentes para cada empresa. Algunos de los principales ejemplos de riesgos residuales que deben monitorearse siempre que la seguridad esté bajo control son los siguientes:

• Suplantación de identidad por correo electrónico: siempre existe el riesgo de terceros. El phishing por correo electrónico es cuando un atacante envía un correo electrónico para obtener información personal o simplemente piratea un sistema. Los correos electrónicos de phishing a menudo se crean para que parezca que provienen de remitentes de autoridad, como servicio al cliente, ejecutivos de la empresa o departamentos de recursos humanos, etc. Sin embargo, originalmente, los mensajes los enviaban terceros solo con naturaleza maliciosa.
• Ataque cibernético de terceros: estos ataques cibernéticos generalmente ocurren cuando existe una intención externa dentro de la red de la empresa de la organización para deshabilitar, interrumpir o controlar la información almacenada. Como los ataques son llevados a cabo por terceros, es muy imposible saber si ocurrirá un ataque y cuándo. Incluso con los controles y comprobaciones adecuados, sigue siendo un riesgo residual.
• Robo de información interna: las personas a menudo asocian los ciberataques con terceros sin rostro. Puede abordar los riesgos inherentes, como el mal manejo de los datos personales y el uso indebido de cualquier cuenta privilegiada mediante el registro y la supervisión, lo que puede contribuir a la probabilidad de este tipo de ataque, pero aún se considera un riesgo residual. También se debe considerar el sabotaje realizado por personas dentro de la empresa.

Evaluaciones de riesgo

Las evaluaciones de riesgos inherentes ofrecen a los equipos de seguridad y CISOS un marco para mejorar los controles de seguridad. Además de la evaluación de primer nivel, las evaluaciones de riesgos inherentes tienen muy poco valor. Las evaluaciones de riesgos residuales poseen un valor real y ayudan a identificar y remediar las exposiciones antes de que los ciberdelincuentes puedan explotarlas.

Riesgo residual versus riesgo inherente y cómo evaluarlos

Después de conocer todas las explicaciones, ejemplos y cómo se relacionan el riesgo inherente y el riesgo residual. Veamos algunos de los pasos que podrían seguirse para evaluar y controlar los riesgos dentro de cualquier operación.

1. Establecer la respuesta al riesgo

Primero, es esencial idear la respuesta que se debe tomar si se presenta un riesgo. Esto podría resultar bastante interesante en términos de la probabilidad de riesgo y el impacto del riesgo, la gravedad que puede traer a la operación y al negocio en sí. El riesgo se puede gestionar fácilmente después de que el análisis se haya realizado cuidadosamente.

2. Controles de experimentación

La experimentación es fundamental para acceder a los controles de riesgo establecidos y anticipar si son tan efectivos como la solución para los riesgos deseados. Puede o no ser perfecto para eliminar el riesgo, pero siempre que el riesgo pueda reducirse a un cierto nivel, ese debe ser el objetivo.

3. Establecimiento de los controles de riesgo

Los controles de riesgo se realizan principalmente para resolver los riesgos y comúnmente implementar la reducción de riesgos. En la mayoría de los casos, el control de riesgos requiere un procedimiento adicional en la operación del negocio para reducir los riesgos que pueden verse afectados por el costo.

Reparación

Todos los planes de reparación y corrección se realizaron resolviendo los riesgos que debían ser personales. Esto podría traer información para más mejoras o para futuras referencias si las mismas amenazas se repitieran.

El riesgo inherente generalmente responde a preguntas como estas:

• ¿Qué riesgo general plantea este tercero?
• ¿Cómo se distribuye el riesgo inherente en mi ecosistema de empresas?
• Si este tercero tiene un incidente cibernético, ¿qué tan grave podría ser?
• ¿Qué terceros representan el mayor y el menor riesgo inherente entre sí?

El riesgo residual generalmente responde a preguntas como estas:

• ¿Qué riesgo plantea específicamente el tercero?
• ¿Cuál es el tipo de riesgos que es probable que afecten a este tercero?
• ¿Cómo se distribuye el riesgo residual en el ecosistema de empresas?
• ¿Cómo se distribuye el riesgo residual dentro de este tercero individual?
• ¿Qué terceros representan el menor y el mayor riesgo residual para controles específicos, tipos de incidentes cibernéticos y otras cosas?

Relacionado:

Los 24 mejores software de gestión de riesgos

Envolviendolo

Una verdadera comprensión del riesgo organizacional y cómo administrar el riesgo es parte de la vida de todos. Para cualquier futuro gerente de proyecto, aprender a distinguir y planificar los diferentes tipos de riesgos lo ayudará a administrar los recursos y el tiempo de manera más eficiente.