Una vez que tenemos el listado de riesgos, organizados ya sea por procesos, por producto, por cualquier otro ente agrupador, procedemos a conocer un poco más de ellos, es decir es la etapa de analizarlos para conocerlos un poco más.
Reúnase con el dueño del proceso donde está el riesgo, y empiece con la documentación de cada riesgo, los datos que debe reunir son los siguientes:
Reúnase con el dueño del proceso donde está el riesgo, y empiece con la documentación de cada riesgo, los datos que debe reunir son los siguientes:
- Nombre del riesgo
- Descripción del riesgo
- Tipo de riesgo (operacional, de crédito, de mercado, etc)
- Categoría (por ejemplo si es riesgo operacional se habren las categorías de basilea, como son:Fraude Interno, Fraude Externo; Relaciones laborales y seguridad en el puesto de trabajo; Clientes, productos y prácticas empresariales; Daños a activos materiales; Incidencias en el negocio y fallas en los sistemas; Ejecución, entrega y gestión de procesos); sin embargo en los demás riesgos también puede abrir categorías si lo necesita.
- Responsable de su administración
- Fuentes de riesgos
- Areas de impacto
- Procesos contra los que impacta
- Objetivos corpotaivos comprometidos
- Causa principal
- Demás causas (trate de hacer un esquema de espina de pescado)
- Cuándo, cómo dónde podría ocurrir.
Esta información se consigue de manera iterativa, a medida que se avanza en el conocimiento del mismo.
Comparto un listado de algunas áreas de impactos:
Comparto un listado de algunas áreas de impactos:
- Activos y recursos (activos, pasivos, capital, tangibles e intangibles de TI, empleados, etc)
- Costos (tanto directos, como indirectos, sanciones, indemninzaciones, reposiciones, reconstrucción y otras multas de diferentes fuentes)
- Desempeño (tanto en la productividad, como en la calidad y rendimiento del capital)
- Intangibles (Seguridad, solidez, confianza, reputación, conocimiento, inteligencia de negocios y del sector)
- Ingresos y otros derechos (Intereses, patentes, propiedad industrial, regalías, comisiones, etc)
- Clima organizacional (Valores éticos, Idoneidad, Moral de los empleados, Estabilidad, etc)
- Emprendimientos y actividades (lanzamiento de nuevos productos, gestión del cambio tecnológico, inversiones de oportunidad y expanción del negocio)
- Comunidad y entorno (Vecinos, medio ambiente, clima, país, sociedad, etc)
Las fuentes son diversas, entre ellas destacan:
- Las personas de la empresa y externas (malas conductas, avaricia, soberbia, despidos y venganzas, hackers, crakers, etc)
- Entorno geográfico, político, social, cultural, etc.
- Los mismos sistemas al interior de la empresa constituyen fuente de riesgos
- Los procesos mal ejecutados o con fallas en sus deficiones, o mal documentados son fuente de riesgos.
- Muchas otras.
Consulte los diagramas de Ishikawa, diagrama causa efecto, para ayudarse a documentar las causas.