Para poder realizar la identificación de los riesgos en una organización, como primera medida es esencial tener claridad acerca del concepto de riesgo.
Un riesgo corresponde a un evento, suceso, situación que es susceptible de presentarse o no, en caso de presentarse-materializarse afecta el logro de los objetivos trazados, si lo afecta en un contexto negativo, es decir que impida o retrase el cumplimiento del mismo se da la connotación de riesgo, y si por el contrario potencia la posibilidad de lograrlo, se le da la connotación de oportunidad.
En el proceso de identificar los riesgos en una organización, es clave contar con información coherente y actualizada acerca de las actividades que se llevan a cabo en los diferentes procesos, los resultados esperados de las mismas, como orígenes de riesgos, se puede acudir a diversas fuentes de información, como lo son:
- Las fuentes de riesgos materiales, las que podemos ver, maquinaria, infraestructura, y las fuentes de riesgos que no podemos identificar a simple vista.
- Cambios en los mercados, costumbres, etc.
- Del análisis de contexto extraer las amenazas y debilidades para la identificación de riesgos y las oportunidades.
- Caracterizar los activos y recursos con los que cuenta la organización, identificando su naturaleza y valor.
- Los aspectos relacionados con los tiempos.
Es importante resaltar que se deben tener en cuenta para la identificación de riesgos, las fuentes internas (Propias de la organización y que esta controla), y las fuentes externas, las no controladas por la organización.
Ahora bien, teniendo claro el concepto de riesgo y algunas de sus fuentes, es preciso realizar los siguientes pasos para completar el proceso de identificación, la organización deberá priorizar de esta lista encontrada, aquellos riesgos para los cuales va a emprender planes de acción en el corto y mediano plazo.
- Descripción paso a paso de los procesos: estas se pueden encontrar en los procedimientos y el objetivo es poder identificar las diversas actividades que se llevan a cabo, los responsables, la cantidad de personas involucradas.
- Después de tener identificado el listado de actividades, para cada una de ellas identificar qué puede salir mal, fuera de los parámetros esperados.
- En caso de que la actividad se salga de los parámetros esperados, y afecte negativamente el proceso cuáles son los efectos que esta desviación puede causar.
- Partiendo del punto anterior, realizar una descripción de los riesgos identificados.
- Clasificar los riesgos identificados, por categorías que luego permitan dar una respuesta adecuada, por ejemplo, riesgos relacionados con la seguridad de la información, riesgos financieros, riesgos operacionales.
- Determinar el proceso y/o cargo responsable de dar tratamiento a ese riesgo.
- Identificar el plazo en el que se debe tratar el riesgo.
- Determinar si el riesgo existe o está implícito con el desarrollo de la actividad, o si es un riesgo que se podría eliminar o reemplazar por otro menos impactante con algún cambio en el desarrollo de la actividad.
- Previamente se debe haber determinado una escala de calificación para el riesgo, normalmente, se tiene en cuenta para esta escala la probabilidad y el impacto, entre otras variables, esto con el fin de que basados en esta escala, se identifique el riego inicial (Inherente) en que escala se encuentra.
- Listar los posibles controles que se pueden aplicar para el riego identificado.
- Establecer los responsables de aplicar los controles identificados.
- Indicar cuales serían las evidencias que se dejan para demostrar la aplicación del control.
- Identificar la periodicidad con la que debe aplicarse el control.
Los anteriores pasos nos darán la entrada para el siguiente proceso que corresponde al análisis del riesgo, es muy importante que para el ejercicio de identificación de riesgos, se involucre al personal que desarrolla directamente las actividades con el fin de que no sea un ejercicio netamente teórico, sino que sea basado en la realidad, en el día a día, de esta manera estará aportando mayor valor para el objetivo final que es poder tratar los mismos , evitando su materialización o disminuyendo el impacto que este podría generar.
Como lo hemos mencionado en artículos anteriores, el ejercicio de identificar los riesgos y demás etapas del ciclo (Analizarlos, evaluarlos, establecer controles, planes de acción), son ejercicio dinámicos y cuya periodicidad dependerá de la necesidad de la organización, de los cambios en los mercados, en las condiciones de salud mundial (Pandemias), entre otros factores, que va a determinar cada cuánto se debe realizar la actualización de la matriz de riesgos, ante escenarios actuales tan volátiles y cambiantes es un desafío y cobra mayor relevancia el proceso de la gestión del riesgo en la organizaciones.
Tomado de: https://www.isotools.org/