Control de riesgos: riesgos ignorados y riesgos aceptados

Navega tus respuestas
7

Algunos dicen que los riesgos ignorados como parte del comportamiento de una organización son mucho peores que los riesgos aceptados.

Me gustaría probar ese axioma (a los ojos de algunos).

Cuando estoy manejando un riesgo y elijo aceptarlo, significa que he realizado un análisis de riesgo y control de riesgos, y he elegido aceptar este riesgo y vivir con él. Cuando hago lo mismo, solo que esta vez elijo ignorar ese riesgo, ¿no estoy haciendo lo mismo? Estoy viviendo con ese riesgo como parte de mi plan operativo como organización.

Algunos dirían que es una tontería ignorar los riesgos. Sin embargo, lo estoy viendo de esta manera: la única diferencia entre un riesgo aceptado y un riesgo ignorado, es el mero hecho de que lo que estoy aceptando es un riesgo, me mantengo y mi organización consciente de ese riesgo. Y si se ignora un riesgo, entonces probablemente lo ignoré porque es un riesgo ligero, la probabilidad de que se aproveche es mínima, y los costos de la vulnerabilidad asociada a la vulnerabilidad que se explota son de cero a ninguno.

Entonces, ¿la diferencia es tan grande?

    
pregunta Franko 05.01.2013 - 21:06
fuente

3 respuestas

5

A pesar de los gigabytes escritos sobre la gestión de riesgos, no creo que haya una terminología coherente y coherente para la gestión de riesgos. Así que la respuesta a tu pregunta es local; a menos que defina "ignorar" de manera diferente a "aceptar" dentro de su programa de gestión de riesgos, no hay diferencia.

Dicho esto, sugeriría que si yo fuera uno de los responsables de la toma de decisiones, trataría a los dos de manera diferente. Incluso si aceptara un riesgo, continuaría monitoreando ese riesgo, reevaluaría periódicamente ese riesgo y consideraría la asignación de factores desencadenantes y métricas de riesgo. Acepto ese riesgo hoy debido a mi evaluación de la probabilidad y el impacto del riesgo, el costo y la eficacia de mis respuestas potenciales y mis prioridades. El próximo mes esos factores pueden cambiar. En mi opinión, los riesgos "aceptados" todavía se gestionan, pero los riesgos "ignorados" no lo son.

    
respondido por el Mark C. Wallace 07.01.2013 - 12:44
fuente
2

En el contexto que ha descrito, no existe un riesgo ignorado. Lo que usted ha descrito es la aceptación del riesgo.

Si sopesa el riesgo y decide no hacer nada, está aceptando ese riesgo, no lo ignora.

    
respondido por el Rory Alsop 05.01.2013 - 21:14
fuente
0

Acepto el riesgo de morir en un accidente automovilístico.

La conveniencia del automóvil es lo suficientemente grande como para continuar manejándolo.

El riesgo de muerte es lo suficientemente bajo como para que yo decidiera que las medidas existentes (bolsas de aire, cinturones de seguridad) son buenas y que ninguna otra medida (chorros de salto) valga el costo que requieren. Periódicamente verificaré si se introducen nuevas medidas.

No describiría esta actitud como una tontería porque se realizó una evaluación razonable de la vulnerabilidad. Los costos y beneficios de mitigación fueron considerados y rechazados. Y se hizo un compromiso de reevaluación periódica.

No sé sobre el asteroide que impactará y destruirá mi auto.

¿He realizado suficientes consultas sobre amenazas y vulnerabilidades y no he podido detectar la amenaza de asteroides?

¿O fue mi investigación insuficiente para descubrir amenazas y vulnerabilidades para las cuales existen mitigaciones razonables?

Creo que la última pregunta puede ayudarlo a decidir si realmente está ignorando el riesgo.

    
respondido por el this.josh 08.01.2013 - 08:08
fuente

Lea otras preguntas en las etiquetas

Seguridad de contraseña de Postgres detección de inspección SSL