¿Qué tienen en común la pérdida de confidencialidad, disponibilidad y/o integridad de la información, la contaminación de aguas, el derrame de químicos, conatos de incendios y denuncias por posibles sobornos? Todos son incidentes que ocurrieron porque fallaron uno o más controles en la organización, y las fallas hicieron que las amenazas explotaran las vulnerabilidades.
Un control, según el término 3.1 de la ISO 31000: 2018, es la “medida que mantiene y/o modifica un riesgo”. Estos son eficaces en la proporción que tengan la capacidad de tratar un riesgo según lo que se proponga la organización que lo implemente. Tienen un factor de temporalidad que los hace dividirse en preventivos, detectivos y correctivos, dependiendo del momento en que se ejecute el control.
¿Cómo sabemos que un control es eficaz?
Ante todo, sabemos que un control es eficaz porque logra su objetivo. Si es mitigar, el control debe disminuir el riesgo residual frente el riesgo inherente. Si al final el riesgo residual es más bajo que el riesgo inherente, en una cantidad objetivo (1, 2, 3…x niveles), el control es eficaz. Como ejemplo podemos señalar que si queremos mitigar el riesgo cuando conducimos un vehículo, los controles serían conocer plenamente las condiciones del vehículo, comprender las señalizaciones y leyes de tránsito, contar con un conductor entrenado y un auto en buenas condiciones. Los controles están orientados a disminuir la probabilidad de tener un accidente.
Si el propósito es transferir el riesgo, el control es eficaz si el actor de transferencia (aseguradora, proveedor de outsorcing, experto técnico o especialista que se contrata para transferir el riesgo) fue confiable y trató el riesgo.
Si la meta es aceptar el riesgo y este no se materializa, el control fue eficaz porque a pesar de que no se haga nada para modificar el nivel del riesgo, se puede seguir operando pese a su existencia. No obstante, hay consciencia de que ese riesgo existe, de que tiene una fuente, probabilidad e impacto y no tomará por sorpresa a nadie.
Crear controles eficaces
Un control tiene dos grandes componentes: el diseño, que corresponde a la estrategia para ejecutar el control (la documentación, capacitación de las personas, las herramientas, el hardware, el software y la infraestructura que se necesita para ejecutar el control) y la ejecución, que se trata de cumplir con el diseño. Si esos dos componentes se llevan a cabo de manera adecuada, con un diseño robusto y una ejecución correcta, vamos a crear un control eficaz. Esto depende en gran medida de la naturaleza del riesgo, porque si 1) se presenta con mucha frecuencia y alta probabilidad, el control también tendría que ser de alta frecuencia o permanente, 2) se presenta eventualmente, el control debería tener una periodicidad determinada y una ejecución oportuna. Luego existen otras características para los controles eficaces: automatización, documentación y trazabilidad.
La eficacia implica prevenir
Medir la eficacia de los controles es un ejercicio intelectual y preventivo que efectúa la organización a través de sus tomadores de decisiones (equipo de gerencia, comité de riesgos o entidad que hace el análisis), en el que se busca anticipar los riesgos que puedan ocurrir, tomar decisiones como aceptar, transferir o mitigar y verificar que esas decisiones han tenido el efecto esperado.
La eficacia yace en hacer una evaluación, adelantarse a la ocurrencia del riesgo
Si queremos evaluar la eficacia del control, podemos asignar pesos específicos al diseño y ejecución mediante una matriz de valoración del control. Esto permite otorgar diferentes niveles de eficacia, dependiendo de la combinación que tengan el diseño y la ejecución. Otros factores que contribuyen a que el control sea eficaz son:
- Nivel de madurez de la ejecución
- Mediciones del control
- Capacitación a las personas en todo lo referente al control.
finalmente esta ponderación permitirá conocer si es propicio aceptar, transferir o mitigar el riesgo después de aplicar los controles diseñados, y si debemos mejorar esos controles.
Mejorar los controles de riesgos
Todo control es mejorable y podemos empezar con ello empleando una matriz en la que observemos cuáles son los factores que permiten que los controles se muevan hacia un mayor nivel de eficacia. Por ejemplo, si el control se ejecuta de forma manual, una automatización nos lleva a la mejora. Si el control se ejecuta empíricamente, documentarlo es una manera de mejorarlo. Los componentes que nos permitieron diseñar y ejecutar el control van a ser los que nos permitan alcanzar la eficacia. La matriz nos deja saber si el control va siendo más eficaz dada la oportunidad de ejecución, frecuencia, conocimiento respecto al control y demás factores antes mencionados.
Por último, es importante considerar que los controles normalmente no se ejecutan de forma aislada. Por ejemplo, con un control de acceso no se van a resolver todos los riesgos de ciberseguridad. Pero ese control de acceso, complementado con un antimalware, segregación de redes y funciones, aplicaciones confiables, sistemas operativos actualizados, servidores apropiados y adecuadamente configurados, etc. pueden ser controles eficaces ante un riesgo específico. Entonces ¿mientras más controles mejor? No necesariamente, es suficiente con la cantidad de controles correspondientes según el nivel de riesgo inherente, la necesidad de regulación, el apetito por el riesgo de la organización y la cultura que la caracteriza, y se ve reflejado en sus resultados económicos y su sostenibilidad en el tiempo.
Muy interesante tu artículo, Mariángela.
Sólo tengo un par de comentarios «constructivos»:
1. Para mí, a lo que tu llamas «riesgo inherente», yo preferiría llamarlo «riesgo inicial»; y
2. Creo que es importante resaltar que los controles más idóneos son aquellos asociados a indicadores cuantitativos, ya que estos nos permiten realizar un mejor seguimiento de la eficacia de cada control.
Un cordial saludo,
Alexis Oramas.
Alexis, muchas gracias por tu respuesta al artículo.
En cuanto a tus observaciones, te comento que:
1. Llamarlo riesgo inherente o riesgo inicial es cuestión de preferencia porque en este contexto ambos términos son sinónimos y se emplean según el estilo del asesor/auditor
2. Efectivamente, los controles cuantitativos son más eficaces. Coincidimos en eso, aunque las organizaciones pueden o no tener datos y contar con mediciones cualitativas sirve de aporte al desarrollo de la cultura de gestión de riesgos.
Espero que los textos que publicamos semanalmente sean de tu agrado. Te invitamos a dejar tus comentarios, es un gusto conversar al respecto 🙂
¡Saludos cordiales!
Equipo de GACS