Realización de una evaluación de riesgo operacional

Puede usar Proyectos para organizar de manera fácil y efectiva todas las tareas involucradas en la realización de una evaluación de los riesgos operacionales y cuantificar cuánto riesgo enfrenta una organización.

En última instancia, los resultados de las pruebas en un proyecto pueden acumularse en las calificaciones Riesgo inherente y Riesgo residual de su organización, lo cual le brinda una imagen en tiempo real de cuánto riesgo existe antes y después de que se hayan implementado los controles.

Escenario

Usted es un líder de gestión de riesgos que posee un proyecto completo de evaluación de riesgos operacionales. Su equipo tiene un proceso de evaluación de riesgos maduro y refinado, y evalúa el riesgo en múltiples dimensiones (probabilidad, impacto, velocidad y vulnerabilidad) en una escala de tres puntos (1-Bajo, 2-Medio y 3-Elevado).

Anteriormente, usted creó un proyecto desde una plantilla de proyecto. Ahora, debe evaluar la calificación de riesgo inherente de uno de los riesgos del objetivo de Controles generales de sistemas para determinar el riesgo bruto al que se enfrenta la organización si no se han implementado controles u otros factores atenuantes.

A medida que evalúa cada riesgo en el proyecto, también desea poder determinar el riesgo que resta después de que se han implementado los controles. Esta información será útil cuando llegue el momento de preparar el reporte final de la evaluación del riesgo.

Antes de comenzar

Este tutorial lo guia a través de las áreas claves en Proyectos que se relacionan con la tarea de realizar una evaluación de los riesgos operacionales.

Antes de comenzar este tutorial, debe hacer dos cosas:

  1. Asegúrese de tener los permisos adecuados para crear un proyecto.
  2. Abra la aplicación Proyectos y cree un proyecto utilizando la plantilla de proyecto Evaluación del riesgo operacional.

Definir su marco de calificación de riesgo

Comencemos configurando nuestro proyecto. El primer paso en el proceso de evaluación de riesgos es desarrollar un conjunto común de criterios de evaluación (un marco de calificación de riesgos) que pueda usarse en todas las entidades, departamentos o unidades operativas. Los líderes de Gestión de riesgos son generalmente responsables de establecer el marco de calificación de los riesgos y pueden ser responsables de evaluar los riesgos ellos mismos o delegar las responsabilidades de evaluación en otros miembros del equipo.

  1. Desde la página de inicio de Launchpad (www.highbond.com), seleccione la aplicación Proyectos para abrirla.

    Si ya se encuentra en Diligent One, puede utilizar el menú de navegación de la izquierda para pasar a la aplicación Proyectos.

  2. En la página de inicio de Proyectos, en Administración del sistema, haga clic en Administrar tipos de proyectos.
  3. Junto a la Evaluación del riesgo operacional, haga clic en Editar y luego en la ficha Riesgos y controles.

    Hay muchas opciones de configuración en esta página, pero no tiene que preocuparse por esto. Su atención se enfocará en la sección Factores de calificación de riesgo, que es donde definirá cómo se evaluará el riesgo en el proyecto.

  4. Desplácese hacia abajo en la página hasta la sección Factores de calificación de riesgo.

    Observe que los factores de calificación de riesgo para el impacto, la probabilidad y la velocidad ya están configurados para usted. Su organización también evalúa el riesgo de la vulnerabilidad utilizando una escala de tres puntos, por lo que debe configurar un factor más de calificación de riesgo como parte de su marco de calificación de los riesgos.

  5. Haga clic en Agregar factor de calificación de riesgo, complete la sección Factor de calificación de riesgo 2 de la siguiente manera y luego desplácese hacia abajo en la página y haga clic en Guardar:

    Nota

    Haga clic en + Agregar tres veces para etiquetar los puntos en Opciones.

Resultado Ha definido un marco de calificación de riesgo que se puede usar para evaluar el riesgo en una escala de tres puntos (1-Bajo, 2-Medio y 3-Elevado) usando los siguientes factores de calificación de riesgo: probabilidad, impacto, velocidad y vulnerabilidad. Ahora puede comenzar a evaluar el riesgo inherente utilizando su marco de calificación de riesgo.

Evaluar el riesgo inherente

Ahora que sabe cómo evaluará el riesgo en el proyecto, puede pasar a evaluar el riesgo. Necesita evaluar específicamente un riesgo asociado con la administración que no establece un entorno de control apropiado para administrar los sistemas. En colaboración con otros miembros del equipo de gestión de los riesgos, ha determinado el impacto del riesgo como Bajo y la probabilidad del riesgo como Medio. También ha determinado la velocidad como Media y la vulnerabilidad como Elevada.

  1. Haga clic en la lista desplegable de la instancia de Diligent One, haga clic en Proyectos, seleccione el proyecto Evaluación del riesgo operacional y haga clic en la ficha Trabajo de campo.
  2. Haga clic en Ir a al lado del objetivo de Controles generales de sistemas y luego seleccione Matriz de control de riesgos.
  3. Haga clic en ITC-R.01: Riesgo sin título, desplácese hacia abajo hasta la sección Calificación de riesgo y evalúe el riesgo de la siguiente manera:

Resultado Ha evaluado el riesgo inherente de ITC-R.01: riesgo sin título. Las calificaciones de riesgo inherente y residual se actualizan automáticamente. Por el momento, la calificación de riesgo residual es la misma que la calificación de riesgo inherente porque los controles asociados con el riesgo no se han probado y no se ha confirmado que funcionen de manera efectiva.

Especificar qué controles están diseñados para mitigar el riesgo

El beneficio de utilizar una plantilla de proyecto es que ya viene con una matriz de control de riesgos preconstruida. Entonces, todo lo que tiene que hacer es confirmar que los controles apropiados han sido asociados con el riesgo y que a cada control se le ha asignado un peso adecuado.

  1. Desplácese hacia arriba en la página y haga clic en la ficha Matriz de control de riesgos.
  2. Junto a ITC-R.01: Riesgo sin título, haga clic en Asociar control.

    Usted confirma que los controles apropiados (ITC-01, ITC-02 e ITC-03) han sido asociados con el riesgo. Cada uno de los controles tiene un peso del control específico del 100% pero usted determina que esta información no es precisa.

  3. Actualice los siguientes pesos del control y haga clic en Guardar:
    • ITC-01 25 %
    • ITC-02 25 %
    • ITC-03 50%

Resultado Usted ha especificado qué controles se diseñaron para mitigar el riesgo y expresó el porcentaje del riesgo mitigado por cada control.

Evaluar la eficacia del control

Genial, sus asociaciones de control y riesgo están configuradas con precisión. Ahora, debe probar cada control para evaluar su efectividad operativa. Si uno o más de los controles están operando de manera efectiva, la calificación de riesgo residual será menor que la calificación de riesgo inherente.

  1. Haga clic en la ficha Evaluaciones del control.
  2. Junto a ITC-01, haga clic en Ver/Editar, desplácese hacia abajo en la página y seleccione Efectivo desde el campo ¿Es efectivo este control? y haga clic en Guardar.
  3. Repita los pasos 1 y 2 para ITC-02 e ITC-03, pero marque a ITC-02 como Efectivo y a ITC-03 como No efectivo.

Resultado Ha evaluado la efectividad operacional de cada control. ITC-01 e ITC-02 se definen como "aprobados", mientras que ITC-03 se define como "No aprobado".

Ver riesgo residual

Este último paso es fácil. Veamos cuánto riesgo resta después de que nuestros controles se hayan puesto en marcha.

  1. Haga clic en la ficha Matriz de control de riesgos y haga clic en ITC-R.01: Riesgo sin título.
  2. Desplácese por la página hasta la sección Calificación y vea la calificación de riesgo residual.

Resultado La calificación de riesgo residual es 50 % de la calificación de riesgo residual inherente. Si todos los controles estuvieran operando efectivamente, la calificación de riesgo residual sería 0.0, lo que significa que los controles vigentes reducen el riesgo en un 100 %. Sin embargo, dado que solo aprobaron dos de los tres controles (ITC-01 e ITC-02, ambos pesaron al 25 % cada uno), los controles en uso reducen el riesgo en un 50 %.

Discusión

Ahora que ha realizado una evaluación de los riesgos operacionales, conozca los próximos pasos que puede seguir y las opciones para generar reportes sobre el riesgo inherente y el residual a niveles agregados.

¿Qué sigue?

Para demostrar por qué determinó que un control es efectivo o no es efectivo, complete la sección Resultados de la evaluación de cada evaluación de control y agregue la documentación de soporte mediante la carga de archivos o el enlace de la evidencia desde la aplicación Resultados. En este escenario, una de las evaluaciones de control (ITC-03) no aprobó, por lo que también puede registrar un asunto para tomar nota de la excepción.

Automatización de las evaluaciones de riesgos

La realización de evaluaciones de los riesgos operacionales puede ser un proceso lento y manual. Para aumentar la eficiencia, puede crear controladores de evaluación para automatizar las evaluaciones de riesgos, lo que le permite reaccionar más rápidamente para cambiar y entregar información a la persona adecuada en el momento correcto.

Si desea obtener más información, consulte Automatización de las evaluaciones del riesgo operativo.

¿Cuál es la imagen más grande?

Anteriormente, usted visualizaba las calificaciones de riesgo inherente y residual para un solo riesgo (ITC-R.01: Riesgo sin título)). Sin embargo, los reportes a nivel del riesgo individual son bastante detallados. A menudo, necesita informar el riesgo inherente y el residual a nivel agregado. Por ejemplo, puede necesitar informar las calificaciones de riesgo inherente y residual agregadas por todos los riesgos en un solo objetivo o por todos los riesgos del proyecto.

Visualización de calificaciones de riesgo agregadas a nivel del objetivo

Puede ver las calificaciones del riesgo inherente y residual agregadas por todos los riesgos en un solo objetivo al hacer clic en Progreso en el proyecto:

Visualización de calificaciones de riesgo agregadas a nivel del proyecto

Puede ver las calificaciones de riesgo inherente y residual agregadas por todos los riesgos del proyecto al hacer clic en la ficha Resultados: