Conocer la diferencia entre el riesgo inherente y el riesgo residual es clave para los buenos procesos de gestión del riesgo. Cada uno representa etapas distintas en el proceso de evaluación del riesgo, y cada uno necesita estrategias adaptadas para la mitigación y control.

Riesgo inherente

El "riesgo inherente" es el riesgo presente en cualquier actividad, proceso o entorno antes de tomar medidas de mitigación del riesgo. Básicamente, es la forma más pura de exposición al riesgo, no afectada por ninguna acción de gestión del riesgo.

Por ejemplo: Un equipo de desarrollo de software crea un proyecto con el objetivo de lanzar una nueva aplicación. Los riesgos inherentes incluyen:

  • incertidumbres sobre el alcance del proyecto;
  • limitaciones tecnológicas;
  • demanda del mercado;
  • la disponibilidad de miembros clave del equipo; y
  • problemas de cumplimiento regulatorio.

Estos riesgos existen independientemente de las estrategias de mitigación de riesgos implementadas.

Riesgo residual

Por otro lado, el riesgo residual refleja el riesgo que permanece a pesar de la implementación de controles y salvaguardas.

Por ejemplo: Nuestro equipo de desarrollo de software ha abordado los riesgos inherentes identificados anteriormente al implementar:

  • protocolos rigurosos de prueba;
  • medidas de aseguramiento de la calidad; y
  • planes de contingencia.

Aun así, puede haber riesgos residuales:

  • errores de software inesperados descubiertos después del lanzamiento;
  • cambios imprevistos en la dinámica del mercado; o
  • violaciones de seguridad de datos.

Estos riesgos persisten, incluso después de las acciones proactivas de gestión de riesgos del equipo.

Diferencia clave

La distinción clave entre el riesgo inherente y el riesgo residual radica en su temporización y manejabilidad. El riesgo inherente representa el nivel base de exposición al riesgo. Existe antes de la implementación de cualquier medida de mitigación del riesgo.

El riesgo residual, por otro lado, surge después de la aplicación de estrategias de gestión del riesgo. Destaca el riesgo restante que las organizaciones deben aceptar, transferir o mitigar.

Problemas de la cadena de suministro

Controlar los riesgos siempre es un desafío, y nunca más que cuando se trata de proveedores externos. Algunas relaciones comerciales pueden ser de alto riesgo.

Una organización es tan fuerte como el eslabón más débil en su cadena de suministro. Identificar riesgos residuales e inherentes en estas relaciones puede ayudar a una organización a:

  • mejorar sus prácticas de seguridad de la información;
  • crear controles internos más sólidos;
  • superar los estándares de la industria;
  • cumplir con los requisitos regulatorios; y
  • mejorar su programa general de gestión del riesgo de terceros (TPRM).

Mitigación, no eliminación

Es imposible eliminar completamente el riesgo. En cambio, el objetivo es lograr un nivel de riesgo reducido. Comprender la disparidad entre el riesgo inherente y el riesgo residual es una parte esencial de la creación de prácticas de gestión del riesgo efectivas.

Al identificar y abordar los riesgos inherentes desde el principio y monitorear y mitigar continuamente los riesgos residuales, las organizaciones pueden mejorar su resiliencia y minimizar los posibles impactos adversos.

 

Orbit Risk short

Orbit Risk

Achieve trust, transparency and security with a single platform. A leading solution for companies looking to digitise and automate their risk management by leveraging Intelligence, Diligence and Security.

learn more